Domande con tag 'session-management'

domande con tag
1
risposta

A quale livello l'entropia della chiave di sessione diventa un problema reale?

Supponiamo di avere una chiave di sessione compresa tra 0000000000009999999999, che fornisce 33,2 bit di entropia. Questo è molto inferiore ai 128 bit raccomandati dalla maggior parte. Naturalmente, di solito è banale cambiare le chiavi di se...
posta 10.03.2015 - 17:40
2
risposte

Quali misure devono essere prese per autenticarsi in modo sicuro dal traffico Web a una connessione WebSocket?

Ovviamente TLS è un must per qualsiasi autenticazione sicura. Si prega di trasformare le impostazioni di paranoia fino a 11 per questo. Sfondo : (Nel caso in cui le persone non conoscano il protocollo WebSocket (WS) e le sue idiosincrasie) L...
posta 30.07.2015 - 19:58
2
risposte

Un ID sessione dovrebbe mai essere inviato su una connessione non criptata?

Sto insegnando a me stesso un tocco della più basilare sicurezza delle informazioni mentre gioco con il web dev, in modo da ottenere una migliore comprensione dell'intero quadro. Supponiamo che il mio sito web contenga account utente che cont...
posta 19.02.2015 - 02:46
2
risposte

Il server HTTP ha accesso all'ID di sessione SSL?

Voglio sapere se un server HTTP (Apache, nginx ecc.) può accedere a un ID sessione SSL / TLS. Supponiamo di avere un hardware che fa solo SSL / TLS e dietro un server web che invia e riceve le richieste. Il server web può "vedere" l'ID della ses...
posta 24.04.2013 - 14:40
1
risposta

Token di sessione incorporato nel modulo

Ho un token di sessione che è memorizzato in un lato client del cookie del browser. Il cookie è già disponibile per lo scripting e viene utilizzato per convalidare XHR tramite Javascript. Per una pagina particolare sto usando un iFrame per caric...
posta 24.12.2011 - 19:55
1
risposta

Come funzionano i cookie insieme al token binding?

L'associazione token è un meccanismo in cui il client invia un token firmato al server. Poiché questo token si basa su una chiave privata, è più difficile da rubare dei cookie di sessione. Quello che non capisco è come il token binding token f...
posta 29.05.2017 - 10:18
1
risposta

Memorizza i dati di sessione in DMZ ok in un'applicazione Web enterprise a più livelli?

Supponiamo di avere un'applicazione web multilivello standard con server Web nella DMZ e più servizi accessibili solo da un'app Web autenticata. Supponiamo inoltre che l'app Web utilizzi le sessioni lato server. Sono interessato all'opinione...
posta 18.12.2016 - 15:41
1
risposta

Se una connessione VPN client-server aziendale laptop dura per giorni?

Negli ultimi giorni stavo sperimentando con il letargo del mio laptop contro lo spegnimento giornaliero (sono sempre stato un ragazzo fermo, ma sto cercando di aggiornarmi). Durante i viaggi di lavoro ho utilizzato la VPN aziendale per riconnett...
posta 16.06.2016 - 16:53
1
risposta

Possibili problemi quando uno o più cookie non HttpOnly

Ho una domanda relativa al cookie HttpOnly. Tracciare altri thread non è stato di grande aiuto, quindi sto postando la mia domanda qui per sapere se puoi prevedere eventuali problemi con la mia comprensione. Esiste un sito web, ad esempio www...
posta 25.06.2015 - 05:29
1
risposta

Come valutare il livello di sicurezza della generazione dell'ID di sessione?

Per alcune settimane abbiamo osservato una collisione nella generazione dell'ID di sessione, con il risultato che due operatori collegati in modo indipendente a un'applicazione web di test condividono la stessa sessione. Abbiamo esaminato il pro...
posta 22.07.2015 - 12:24