Domande con tag 'session-management'

domande con tag
3
risposte

Decidere se l'utente ha lasciato il sito senza disconnettersi o ha semplicemente lasciato il sito aperto per le notifiche senza effettivamente svolgere alcun lavoro?

Sto sviluppando il mio sito usando sessioni lato server usando redis come backend per salvare la sessione. Ora il problema che mi dà fastidio è che l'utente lascia il sito Web senza disconnettersi. Voglio dire, l'utente chiude semplicemente i...
posta 05.03.2012 - 12:57
2
risposte

Quali fattori aumentano la probabilità di duplicare un GUID?

È stato affermato che un GUID non fa un buon lavoro di essere un token di sicurezza una tantum , e ha senso perché i GUID non sono casuali. Nel mio scenario: supponiamo che una determinata azienda stia utilizzando i GUID come token di sicure...
posta 18.12.2011 - 00:15
1
risposta

Come forzare il browser a chiedere all'utente di reinviare il certificato dopo un logout

Abbiamo un sito Web che supporta l'autenticazione basata su form (ad esempio, nome utente e password) e autenticazione del certificato in cui un utente invia il proprio certificato, il nome utente viene estratto dal certificato, una ricerca vien...
posta 07.03.2016 - 15:09
1
risposta

Come eseguire più sessioni durante la scansione dell'applicazione tramite Burp?

Durante la scansione di un'applicazione tramite Burp, ho scoperto che se utilizzo più thread, si traduce in errori di sessione come L'ID di sessione richiesto sembra non essere valido. Potresti avere più di una finestra Task Manager / scheda ap...
posta 06.01.2015 - 10:18
2
risposte

Con l'attacco BREACH, il token CSRF basato su sessione è ancora sicuro?

Questo è qualcosa che non sono stato in grado di comprendere, se BREACH consente la perdita di informazioni, dobbiamo mascherare o generare token CSRF in modo basato sul tempo o per richiesta per renderlo più sicuro? Per quanto ne so, il toke...
posta 11.10.2013 - 09:07
4
risposte

Salvataggio delle password e memorizzazione delle funzioni

(BTW, questo è tutto codificato in PHP come sono sicuro che sarai in grado di dire dalla funzione in basso) Quando si salvano le password, sono a conoscenza del fatto che è necessario eseguire l'hash delle password, infatti qui è il mio codic...
posta 06.08.2016 - 14:18
2
risposte

Autenticazione di Windows e ID sessione

Dopo un test di penetrazione eseguito su un'applicazione intranet che sto sviluppando, in ASP.NET MVC, una delle preoccupazioni sollevate è stata che l'applicazione supporta sessioni utente simultanee e si consiglia di riconfigurare l'applicazio...
posta 12.12.2013 - 16:50
1
risposta

Puoi rubare cookie di sessione con attacco BREACH?

Gran parte delle discussioni sulla vulnerabilità di BREACH riguardano il furto di token CSRF basati su sessioni. Ma se riesci a rubare un token basato sulla sessione, potresti anche rubare il token di sessione stesso? Ovviamente ci sono alcuni p...
posta 27.02.2015 - 23:26
2
risposte

Quanti dati dovrei memorizzare sul computer di un utente in merito alle informazioni di accesso?

Attualmente sto salvando le informazioni di "accesso" dell'utente (non la loro password raw, ovviamente!). Ogni dispositivo / browser ottiene il proprio ID sicuro dal server, tutto bene. Tuttavia, dovrei verificare anche maggiori informazioni...
posta 21.10.2015 - 00:32
2
risposte

Qual è un buon periodo di tempo prima di aggiornare il token CSRF della sessione utente?

Sto utilizzando un token modulo per impedire attacchi CSRF. Quei token sono memorizzati e legati alla sessione di un utente. Ora voglio aggiornare il token solo ogni N minuti o ore in modo che l'utente non riscontri problemi di usabilità come il...
posta 23.04.2014 - 15:38