Recentemente ho seguito una discussione, in cui una persona affermava che il passaggio dell'ID di sessione come parametro url non è sicuro e che invece dovrebbero essere utilizzati i cookie. L'altra persona ha detto il contrario e ha sostenuto c...
Recentemente abbiamo ricevuto un rapporto sulla sicurezza contenente:
Cookie(s) without HttpOnly flag set
vulnerabilità, che apparentemente avevamo in una delle nostre applicazioni interne.
La correzione applicata era semplice come im...
So che molti annunci possono memorizzare cookie di terze parti, ma che ne dici di leggere i cookie? In tal caso, cosa impedisce loro di leggere l'id della sessione per eseguire il dirottamento di sessione?
Attualmente sto studiando i protocolli di autenticazione utente per un sito Web che sto sviluppando. Vorrei creare un cookie di autenticazione in modo che gli utenti possano rimanere loggati tra le pagine.
Ecco la mia prima battuta:
cookie...
Mi chiedevo se un cookie può contenere un virus (o un codice che minaccia la sicurezza). In un certo senso è simile a un download.
Quindi, semplicemente visitando un sito, potrei essere danneggiato?
Ho provato ad esportare tutti i miei cookie tramite l'estensione "Modifica questo cookie" su una pagina che utilizza l'autenticazione dei cookie. Durante la disconnessione, ho provato ad inserire quei cookie sperando che sarei loggato, ma non è...
Riepilogo
Una volta che un utente si collega a un sito Web e le sue credenziali nome utente / password sono verificate e viene stabilita una sessione attiva, è possibile evitare di colpire il DB per ogni singola richiesta da quell'utente? Q...
Qui, diversi server nello stesso dominio DNS emettono cookie in una varietà di impostazioni (scope, HTTPS, Secure) e un altro host emette un cookie con lo stesso valore.
Esempio
Supponiamo che un utente abbia il seguente cookie impostato...
Ho letto un post sul blog mosse GitHub a SSL, ma rimane Fireshepable che afferma che i cookie possono essere inviati in chiaro su http, anche se il sito utilizza solo https. Scrivono che un cookie deve essere contrassegnato con una "bandiera s...
L'autore del link consiglia:
DO NOT STORE THE PERSISTENT LOGIN COOKIE (TOKEN) IN YOUR DATABASE, ONLY A HASH OF IT! [...] use strong salted hashing (bcrypt / phpass) when storing persistent login tokens.
Ho avuto l'impressione che i coo...