Domande con tag 'session-fixation'

domande con tag
2
risposte

Può la pubblicità leggere i cookie del sito Web in cui si trova?

So che molti annunci possono memorizzare cookie di terze parti, ma che ne dici di leggere i cookie? In tal caso, cosa impedisce loro di leggere l'id della sessione per eseguire il dirottamento di sessione?     
posta 03.01.2018 - 00:00
5
risposte

Protezione dagli attacchi cookie cross-subdominio

Ho letto degli attacchi cookie cross-subdomain qui . Una rapida panoramica di come funziona (da Wikipedia): Un sito web www.example.com distribuisce sottodomini a terze parti non attendibili Una di queste feste, Mallory, che ora contro...
posta 06.04.2013 - 14:35
6
risposte

Un utente non può cambiare le informazioni sulla sua sessione per impersonare gli altri?

Non è possibile che un utente malintenzionato modifichi le informazioni relative alla sua sessione (o ai cookie perché sono memorizzate localmente) e quindi ingannare il server che è l'utente legittimo? Ad esempio, se un sito Web utilizza l'I...
posta 19.10.2016 - 16:38
2
risposte

Session Cookie Stealing Protection

Sto cercando come proteggere un sito Web dal furto del suo cookie di sessione. Questi sono i controlli che so sono ampiamente conosciuti / usati: HTTPS ovunque Utilizza solo una stringa casuale creata in modo sicuro per il valore del cooki...
posta 15.05.2013 - 19:00
1
risposta

Comprensione Vulnerabilità legata alla fissazione della sessione

Cosa ho letto Ho letto le seguenti risorse sulla risoluzione della sessione, ma ho ancora difficoltà a comprendere alcuni aspetti di questo tipo di vulnerabilità: Guida alla sicurezza di Ruby on Rails § 2.7 Correzione della sessione ....
posta 15.04.2014 - 21:25
4
risposte

È necessario crittografare i dati della sessione?

Mi sono imbattuto in una classe di gestione delle sessioni in PHP che crittografa i dati della sessione nella cartella di archiviazione della sessione (ad esempio, /tmp ) e può essere decrittografata in un secondo momento nel tuo script util...
posta 19.08.2012 - 19:55
2
risposte

Il modo migliore per impostare in modo sicuro un cookie di sessione su un altro dominio

Al momento abbiamo 2 siti http://www.foo.co.uk e https://secure.foo.com . Il sito www non ha un certificato SSL e si trova su un dominio diverso. Abbiamo un pulsante di accesso su http://www.foo.co.uk che quando si fa clic ap...
posta 25.10.2012 - 10:21
1
risposta

Will session_regenerate_id () senza vero parametro migliora la sicurezza? Dovrei usarlo giusto prima del login?

Voglio ridurre la vulnerabilità degli attacchi di fissazione delle sessioni, quindi ho usato session_regenerate_id () prima di accedere. In qualche modo sono al buio adesso e non sono sicuro della risposta giusta per le domande seguenti: Qua...
posta 27.06.2012 - 08:07
2
risposte

Le impostazioni della mia sessione sono abbastanza sicure?

Sto sviluppando un file che ospita e condividi un'applicazione web. Le seguenti impostazioni della sessione PHP sono sufficientemente sicure? ini_set('session.cookie_httponly', 1); ini_set('session.cookie_lifetime', 0); ini_set('session.en...
posta 10.05.2014 - 11:08
1
risposta

Modifica dell'ID di sessione dopo il login

La mia applicazione web è accessibile solo per gli utenti autenticati. Prima di accedere l'utente può solo vedere la pagina principale con un pulsante per accedere. L'applicazione assegna un ID di sessione sulla pagina principale, l'autenticazio...
posta 26.12.2017 - 19:21