Domande con tag 'session-management'

domande con tag
2
risposte

Ricordami contro sessione persistente per applicazioni web

Questa domanda ha lo scopo di raccogliere informazioni su quali siano i vantaggi / svantaggi specifici della sicurezza nell'utilizzare una funzione "ricordami" per un sito Web online basandosi su sessioni rispetto a rendere la sessione persisten...
posta 28.06.2016 - 14:53
2
risposte

Perché OWASP consiglia "Disabilita sessioni di campi incrociati del browser Web"

Ho esaminato il foglio dei trucchi di gestione delle sessioni OWASP e non capisco il ragionamento alla base suggerimento per " Disabilita sessioni di campi incrociati del browser Web ". In che modo l'utilizzo dello stesso ID di sessione per pi...
posta 25.11.2015 - 10:52
2
risposte

Impedisci il dirottamento della sessione, laddove un utente malintenzionato ruba fisicamente l'ID della sessione (cookie) dal browser

Considera un caso, in cui un utente malintenzionato ha accesso fisico al computer dell'utente per 20-30 secondi. L'utente malintenzionato può utilizzare questo tempo per rubare i cookie dell'utente (ad esempio utilizzando il plug-in EditThisCoo...
posta 02.03.2016 - 08:49
4
risposte

Perché MITM è richiesto per Session Hijacking?

Come ho capito, il concetto base di Session Hijacking è intercettare un pacchetto in cui la vittima invia le proprie credenziali di cookie / sessione a un server, sia esso Facebook / Twitter / YouTube / Qualunque cosa. Ma ovunque guardi e qua...
posta 23.01.2016 - 00:37
1
risposta

Gestione della sessione dell'applicazione per pagina singola

Ho un'applicazione per pagina singola che è completamente HTML + JS + CSS (utilizzando framework come jQuery e AngularJS) e un'API lato server che utilizza ASP.NET WebApi. La SPA viene servita in un server simile a un CDN e anche confezionata...
posta 09.01.2016 - 16:18
3
risposte

Passando id di sessione nella stringa di query per mantenere lo stato in iframe di terze parti - buona pratica?

Vorrei consentire all'utente di "accedere" e mantenere lo stato / stato di accesso tra le pagine all'interno di un iframe. Il contenuto dell'iframe è nostro e sarà ospitato sui vari siti Web dei clienti. Poiché il solito cookie di sessione sa...
posta 01.12.2014 - 13:58
1
risposta

Protezione dell'utente da accessi non autorizzati

Quindi stiamo pianificando di aggiungere una funzione alla nostra app che sia simile a ciò che fa Google, ma un po 'più severa: Hai un elenco di sessioni collegate a un agente utente e un indirizzo IP (?) (google mostra una posizione) 2FA...
posta 15.05.2018 - 02:16
2
risposte

È brutto se la chiave di sessione viene passata in formato testo nell'URL?

In una classe ci è stato detto che è pericoloso inserire la chiave di sessione nell'URL perché potrebbe essere memorizzata nella cache, dal browser o da un proxy, ecc. È corretto? Anche se è stato memorizzato nella cache, la chiave di sessione n...
posta 03.04.2016 - 06:31
1
risposta

Come posso rilevare se IETF TokenBinding è in uso per i token bearer?

Token Binding aumenta la sicurezza dei token bearer tradizionali (cookie). Questo blog descrive che ASP.NET può utilizzare Token Binding. Come consulente per la sicurezza, mi piacerebbe osservare o rilevare che ciò avvenga da una prospettiva...
posta 13.03.2016 - 13:32
1
risposta

RSA / ECB / PKCS1Padding: crittografia di una chiave di sessione JavaScript

Come si fa la modalità ECB quando si ha a che fare con RSA? Non lo capisco Il documento di autenticazione Aadhar ( link pagina 33) dice che dobbiamo usare RSA / ECB / PKCS1Padding ma io Non sto trovando alcun riferimento alla modalità quando si...
posta 04.06.2015 - 14:18