Domande con tag 'cookies'

domande con tag
1
risposta

Prevenire CSRF con flusso implicito e JWT?

Sto leggendo attraverso openid connect document ATM e dice: Put into a browser cookie the ID token can be used to implement lightweight stateless sessions. IIUC vogliamo evitare di usare i cookie per evitare gli attacchi CSRF, dal mom...
posta 04.11.2017 - 04:23
1
risposta

Identificazione del dispositivo per la sfida 2FA

La maggior parte dei siti che prendono sul serio la sicurezza, cercano di identificare il momento in cui si utilizza un nuovo dispositivo (o "sconosciuto") per accedere al proprio account online. Ad esempio, quando accedi da un altro computer a...
posta 14.08.2017 - 19:28
2
risposte

Che cosa fare per aumentare la sicurezza di un cookie di autenticazione personalizzato?

Sto progettando un cookie per scopi di autenticazione. In caso di successo, questo entrerà in un'applicazione. Ecco le cose che ho incluso in questo cookie: È per il web, naturalmente Include alcuni dati sull'utente autenticato, a fini...
posta 01.04.2017 - 09:45
1
risposta

La risoluzione di sessione è difficile da risolvere?

Trovato vulnerabilità di fissazione della sessione in un paio di giganti della tecnologia. Dando i passi che ho fatto: 1. Accedi al tuo account in un browser (Browser 1).   2. Estrai cookie utilizzando l'estrattore di cookie.   3. Importa...
posta 16.03.2017 - 05:49
1
risposta

Come spiegheresti il token CSRF a un principiante? In che modo è più sicuro dell'approccio basato sui cookie?

Ho una comprensione piuttosto basilare di entrambi gli approcci, ma cerco solo una spiegazione migliore, immagino. Ho visto alcuni esempi di attacchi CSRF, utilizzando token CSRF, come framework come Ruby on Rails, Symfony2 ecc. hanno incorpo...
posta 24.03.2017 - 04:15
1
risposta

hash di sessione, hai bisogno di aiuto per sapere come funziona?

c'è un sito web che visito e non riesco a comprendere appieno il processo di accesso e l'hash della sessione che crea e utilizza per tenere traccia degli accessi e simili. qualcuno potrebbe aiutarmi a capire cosa succede nel server e cosa su...
posta 02.01.2017 - 12:46
2
risposte

Perché sono inclusi tutti i cookie con lo stesso nome quando vengono richiesti dal server? Non aumenta le probabilità di violazione dell'integrità del cookie?

I cookie sono impostati e memorizzati come nome / dominio / percorso per il mapping degli attributi di valore, ma solo le coppie nome-valore sono presentate a entrambi i server JavaScript e Web. Questa asimmetria consente ai cookie con lo stesso...
posta 01.11.2016 - 08:55
1
risposta

Memorizza temporaneamente la password principale localmente nel sistema di gestione delle password online

Sto creando un sistema di gestione delle password online. Memorizzo le password salvate utilizzando la crittografia con una password principale. Per decodificare la password, l'utente deve inserire la password principale (poiché la passwor...
posta 22.08.2016 - 14:35
1
risposta

Consenti al sito web B di visitare solo se hai visitato il sito Web A primo [chiuso]

Con due siti Web: A e B . Voglio che gli utenti che aprono il sito Web B vengano reindirizzati a un altro sito Web (ad esempio http://example.com ) se non visitano il sito Web A . Per fare questo ho provato a impostare...
posta 03.02.2016 - 15:39
1
risposta

L'HTTPS protegge dalla sessione?

In una tipica sessione di session riding , l'hacker induce la vittima a inviare una richiesta HTTP a un sito Web a cui è già stato effettuato l'accesso. Ad esempio, l'inganno della vittima fa clic su un link per attivare un attacco CSRF. Il bro...
posta 20.07.2016 - 17:48