Domande con tag 'session-management'

domande con tag
4
risposte

Protezione dell'applicazione web opensource

Ho un sito Web open source. Devo aggiungere una sezione di amministrazione al sito web accessibile a una sola persona. Per renderlo sicuro, stavo pensando di fornire una pagina di accesso che controlla se la password corrisponde a una password p...
posta 02.02.2013 - 18:34
1
risposta

Chiarimento su come funzionano gli attacchi di fissazione della sessione

A partire da OWASP Sto imparando come funzionano gli attacchi di fissazione delle sessioni. Questo è lo scenario: l'autore dell'attacco ha l'ID di sessione generato dal server (accedendo per esempio) e invia un collegamento ipertestuale con...
posta 31.01.2018 - 15:04
1
risposta

Paura riguardante i token di sessione

Recentemente ho letto che le sessioni funzionano come segue: Le tue credenziali sono selezionate. Un token viene generato e memorizzato sul lato server, ad es. UUID, e questo token viene dato al client dove è memorizzato per la durata dell...
posta 26.05.2016 - 21:40
2
risposte

Autenticazione LDAP e sessioni

Data un'applicazione Web con accesso basato su modulo e una directory centrale: l'utilizzo del binding LDAP (veloce) in un'applicazione con l'utente effettivo presenta numerosi vantaggi (rispetto all'utilizzo di un utente del servizio e al contr...
posta 04.02.2015 - 08:31
2
risposte

Gli attacchi HTTPS come il CRIME potrebbero essere mitigati modificando regolarmente il cookie di sessione?

Stavo leggendo su CRIME che è un attacco per sottrarre informazioni sensibili creando richieste. Questo attacco può essere mitigato se il server non invia al client la chiave di sessione effettiva da salvare in un cookie, ma una stringa genera...
posta 06.08.2014 - 16:40
1
risposta

Come memorizzare in modo sicuro accesstoken in Android

Ho un'applicazione web che memorizza il suo accesstoken in localstorage. Ha anche un'applicazione Android che è fondamentalmente un wrapper webview dell'applicazione web. In questo caso, la memoria locale verrà salvata nella cartella di...
posta 03.11.2016 - 12:25
2
risposte

Rinnova il token di accesso per la concessione implicita OAuth2

Vogliamo utilizzare la sovvenzione implicita di OAuth2 come viene proposta per le applicazioni a pagina singola. Per le applicazioni JavaScript che non hanno una classica sessione Web. Le applicazioni hanno solo token di accesso che scadono do...
posta 09.08.2016 - 11:40
1
risposta

È un rischio per la sicurezza che i browser possano ottenere liberamente immagini (e / o altre risorse) tra domini diversi?

La stessa politica di origine ci protegge da un sito malevolo che manipola i dati sul nostro sito attendibile non consentendo le richieste che invierebbero il cookie auth, ad es. Ma se capisco correttamente le immagini, gli script, ecc. Sono un'...
posta 27.10.2016 - 10:58
1
risposta

Test di una black-box per la configurazione della sessione di autenticazione del suono

Come potrei verificare che un sito web su cui sono stato autenticato correttamente (attualmente in sessione) abbia impostato il mio ID di sessione in modo sicuro e non sia vulnerabile? Credo che un ID di sessione debba essere oscurato almeno...
posta 20.10.2016 - 14:14
1
risposta

Come può essere conservato un ID utente come sessioni lato client?

La documentazione per la gestione delle sessioni in ninjaFramework afferma: [...] Ninja uses so called client-side sessions. The cookie itself stores the information you want to attach to that session. [...] Ninja sessions are not en...
posta 02.09.2015 - 13:42