Domande con tag 'session-management'

domande con tag
1
risposta

È più sicuro conservare informazioni preziose su un client non protetto o inviare i dati tramite Internet?

Sfondo: Sto creando un'app Web sicura con lo scopo di fungere da archivio non di conoscenza per i dati di piccole dimensioni (stiamo parlando di pochi byte). Poiché tutta la crittografia e la decifrazione avvengono sul lato client, affinché l...
posta 22.05.2015 - 14:50
1
risposta

ID sessione SSL nella ripresa basata su ticket TLS

Abbiamo un server che supporta la ripresa della sessione senza stato basata su ticket TLS. Tuttavia, quando mi collego al server usando openssl s_client, vedo ancora un ID sessione generato insieme al ticket TLS. Qual è il significato di questo...
posta 30.10.2015 - 22:57
1
risposta

Impostazioni di configurazione per le sessioni in php

Recentemente ho trovato le seguenti impostazioni di configurazione: use-strict-mode hash-bits-per-character funzione hash e ho alcune domande su di loro: Usa la modalità rigorosa dice quanto segue : session.use_strict_m...
posta 25.04.2014 - 01:35
1
risposta

Ci sono moduli per rafforzare le sessioni di Symfony 2?

Stiamo cercando di creare una nuova app su Symfony 2, ma la sicurezza è la nostra priorità principale. Dopo aver scavato un po ', sembra che ci siano un numero di opzioni built-in per la gestione delle sessioni (es. PDO, null, Mongo, ecc.), Ma n...
posta 29.01.2013 - 21:31
2
risposte

Memorizza oAuth di base per una sessione su un sito web

Non sono sicuro che ci sia un buon modo per farlo. Attualmente ho un sito Web in cui gli utenti effettuano l'accesso. In quel sito web ci sono pagine che hanno chiamate API ad un altro servizio, questo servizio utilizza: Authorization: BASI...
posta 05.02.2018 - 16:34
1
risposta

Garantire che una stringa casuale in un cookie e un'intestazione siano la stessa cosa da proteggere contro XSRF?

In uno schema cookie-to-header di invio dei token xsrf / csrf , il server imposta un numero pseudo-casuale crittograficamente sicuro come cookie nella macchina del client. Il codice di script java sul computer client è tenuto a leggere questo...
posta 29.10.2017 - 02:52
1
risposta

Fixazione della sessione OpenID con CSRF

Questa risposta descrive una situazione in cui CSRF può essere utilizzato per ingannare un utente finale per inserire una carta di credito nell'account Paypal di un'altra persona. Evidenzia anche il fatto che le richieste GET che cambiano lo s...
posta 08.11.2011 - 17:50
2
risposte

Perché l'entropia dell'ID di sessione è solo metà della lunghezza dell'ID di sessione?

Su questa pagina sul sito web OWASP, c'è una frase sull'entità di id di sessione che trovo abbastanza strano: The session ID value must provide at least 64 bits of entropy (if a good PRNG is used, this value is estimated to be half the le...
posta 06.10.2016 - 22:29
1
risposta

Perché i nomi utente in genere non sono memorizzati nei cookie di sessione e sono forniti con ID di sessione?

Ultimamente ho letto un po 'di sicurezza e mi sono meravigliato di questo. Perché gli ID di sessione non sono essenzialmente password temporanee collegate al nome utente? Entrambi vengono inviati dal client e controllati dal server con ciascuna...
posta 02.07.2016 - 22:11
1
risposta

Come prevenire i dati dall'intercettazione?

Sono uno sviluppatore web. Qualche giorno fa, ho usato Burp, per intercettare l'app ufficiale di Facebook sulla rete, impostando il proxy. Ho notato che i dati sono stati crittografati. Mentre sto usando Json per comunicare, mi chiedo, come...
posta 13.03.2016 - 15:01