Domande con tag 'cookies'

domande con tag
1
risposta

Mi mancano alcune lacune con la mia attuale gestione delle sessioni?

Sto costruendo un sito con Spring, che richiede l'autenticazione per accedere ad alcune pagine. Il sito è in realtà composto da un host client, che esegue il rendering delle viste e gestisce l'associazione dati e un host RIP API (creato anche...
posta 28.03.2017 - 21:17
1
risposta

Il cookie Httponly protegge le sessioni contro xss?

Supponendo che la mia versione di apache sia superiore a 2.2.x (ho notato nella versione precedente che il cookie solo http può essere trovato comunque), il cookie solo http protegge la sessione utente? C'è un modo in cui l'utente aggira il c...
posta 25.02.2017 - 11:04
1
risposta

problema di dimensioni token JWT

Sto sviluppando un'applicazione a pagina singola che interagisce con un servizio basato su oAuth. Questo servizio concede i token JWT (aggiornamento e accesso) per molte risorse. Potenzialmente il numero di token può essere compreso tra 2 e 100....
posta 07.12.2016 - 11:30
4
risposte

Elimina cookie o imposta httponly e sicuro

Attualmente sono nel bel mezzo di una valutazione della vulnerabilità e ho scoperto che i cookie non hanno Secure o HttpOnly set. Ho raccomandato di impostare entrambi su true per i loro cookie, ma gli sviluppatori hanno risposto che non lo fara...
posta 20.10.2016 - 16:30
1
risposta

Informativa sui cookie "PreviousLoggedinUser"

Mi chiedevo se il tipo di informazioni che un cookie è autorizzato a rivelare. Ad esempio, stavo testando un sito web e vedo in Burp che il suo cookie contiene diverse informazioni, una delle quali è l'identificatore "previousLoggedInAs" che ide...
posta 29.09.2016 - 06:31
1
risposta

è il browser l'unica app in grado di impostare supercookies?

Sto tentando di identificare un se un sito Web utilizza i cookie di tracciamento oltre i normali cookie, che vengono eliminati quando faccio clic su "Elimina cookie". Il piano di lavoro è quello di eseguire una macchina virtuale pulita, utili...
posta 15.05.2016 - 12:44
2
risposte

Rischia di evitare il rilevamento di AdBlock importando cookie o simulando la visualizzazione di annunci

Ho riscontrato sempre più spesso che molti dei siti Web a cui ho accesso richiedevano la whitelist dal mio adblocker. Siti che fanno questo come Forbes , NDTV , non consentire di procedere finché il dominio non è nella whitelist: Esisteune...
posta 30.06.2016 - 22:02
1
risposta

Hashing cookie-values e prevenzione del furto di cookie

Ho un problema con la comprensione di come si memorizzerebbe in modo sicuro un cookie con hash. E come effettivamente hash un cookie. Questa è la situazione: Ogni visitatore (non utente, ma anche visitatore non registrato) del proprio sito We...
posta 09.07.2016 - 02:38
2
risposte

Un cookie di sessione "avviato dal client" può offrire maggiore privacy e sicurezza rispetto alle alternative di sessione esistenti?

Ci sono diversi usi per un cookie , e vorrei offrire qualche tipo di garanzia che un cookie viene utilizzato per uno scopo e uno scopo specifici, limitati. Nel mio caso, voglio dimostrare che un cookie è utilizzato solo per l'autenticazione....
posta 07.08.2015 - 17:39
1
risposta

Esiste un modo sicuro per condividere sessioni nello stesso server con sottodomini diversi?

Sto studiando un caso in cui ho un backend RESTful (basato su php) e un front-end PHP HTML + JS + ibrido in diversi sottodomini: backend.example.com <-- A RESTful API to provide some XHR requests. *.example.com <-- Any other domains o...
posta 30.10.2014 - 20:41