Domande con tag 'session-management'

domande con tag
5
risposte

Puoi proteggere un'app Web da FireSheep senza utilizzare SSL?

Supponiamo che tu voglia dare ad alcuni utenti web un accesso privilegiato al tuo sito web, ma che non sei in grado (o non voglia) di offrire SSL a tutti loro - almeno dopo la pagina di accesso iniziale. In questo caso, c'è un modo per gestir...
posta 23.12.2010 - 02:40
6
risposte

Questa sicurezza di accesso è sufficiente?

Sto arrivando con il mio prossimo sistema di accesso per gli amministratori di un sito di e-commerce, che avrà questo: il modulo di accesso è protetto SSL la password viene convertita in SHA-256 prima di essere trasmessa (bcrypt è ancora t...
posta 21.06.2011 - 04:53
6
risposte

Un utente non può cambiare le informazioni sulla sua sessione per impersonare gli altri?

Non è possibile che un utente malintenzionato modifichi le informazioni relative alla sua sessione (o ai cookie perché sono memorizzate localmente) e quindi ingannare il server che è l'utente legittimo? Ad esempio, se un sito Web utilizza l'I...
posta 19.10.2016 - 16:38
2
risposte

Ha senso hash un id di sessione prima di passarlo a un partner pubblicitario?

La mia azienda gestisce un negozio online. Collaboriamo con un partner che offre buoni sconto ai nostri clienti dopo l'acquisto (i buoni possono essere utilizzati in altri negozi online) e offre anche buoni per il nostro negozio ai clienti di al...
posta 23.05.2013 - 10:27
4
risposte

Session Hijacking - rigenera l'ID di sessione

La rigenerazione dell'ID di sessione su ogni richiesta attenua la probabilità di un dirottamento di sessione sufficiente per essere implementata? Immaginerei di combinare un controllo per REMOTE_ADDR con il REMOTE_ADDR memorizzato nelle varia...
posta 20.12.2010 - 18:16
3
risposte

Perché Firefox e Chrome "perdono" informazioni di sicurezza critiche dal browser e come posso fermarlo?

Studiando strette di mano e crittografia SSL / TLS, ho trovato un metodo che descrive come esportare le chiavi di sessione SSL / TLS da Firefox a un utente o una variabile ambientale all'esterno del browser e quindi decrittografare i pacchetti T...
posta 04.12.2015 - 20:29
2
risposte

OAuth token di accesso vs chiave di sessione

C'è qualche vantaggio rispetto alle sessioni basate su cookie OAuth (stabilite tramite nome utente / password) sotto le seguenti ipotesi? Esiste solo un client legittimo per il servizio Il segreto del client OAuth è stato compromesso (quin...
posta 15.09.2012 - 02:49
3
risposte

Come funziona FaceNiff?

FaceNiff è un'app Android che annusa gli ID di sessione di Facebook. Devi essere connesso allo stesso WiFi della vittima. Si dice che funzioni anche quando WPA2 è presente. Come è possibile? Posso decifrare le comunicazioni degli altri utenti co...
posta 27.06.2011 - 19:47
2
risposte

Session Cookie Stealing Protection

Sto cercando come proteggere un sito Web dal furto del suo cookie di sessione. Questi sono i controlli che so sono ampiamente conosciuti / usati: HTTPS ovunque Utilizza solo una stringa casuale creata in modo sicuro per il valore del cooki...
posta 15.05.2013 - 19:00
6
risposte

Come può un utente difendersi contro il dirottamento di sessione?

Dato un sito Web con vari errori di sicurezza, uno di questi è il dirottamento di sessione, il token di sessione viene continuamente inviato come argomento su HTTP non protetto. Nel mio campo non sorprende che altri snifino le reti che uso, quin...
posta 03.01.2017 - 00:33