Domande con tag 'session-management'

domande con tag
1
risposta

Come gestire OAuth2 refresh_token per l'accesso senza sessione?

Sto lavorando su un'app sessionless a pagina singola con accesso OAuth2 e una casella di controllo "Ricordami". Quando l'utente controlla "Ricordami" all'accesso, memorizzo il token di aggiornamento in LocalStorage per 30 giorni. Ci si sente u...
posta 27.02.2017 - 20:59
2
risposte

Sfruttare una potenziale vulnerabilità di Session Fixation dell'app Web ASP.NET

Sto testando con la penna un'applicazione ASP.NET che presenta il comportamento Correzione della sessione . L'applicazione utilizza sessioni basate su cookie . In sostanza: Quando atterri sulla pagina non viene creato alcun cookie di sessi...
posta 26.02.2015 - 10:13
1
risposta

Identificatore del cookie di firma (HMAC)

Relativo a questa altra domanda sulla condivisione del segreto per firmare i cookie , la mia domanda è più banale: come è veramente sicuro firmare un semplice identificatore di cookie? Ad esempio, la libreria expressjs#session richie...
posta 18.05.2015 - 17:02
2
risposte

Le sessioni possono essere gestite in modo sicuro con i cookie disabilitati?

Ho letto alcune letture sulla gestione degli ID di sessione e ho appreso che generalmente è una cattiva idea includere un ID di sessione nel codice sorgente HTML e / o nella stringa di query. Ad esempio È corretto utilizzare il modulo campo (na...
posta 30.01.2014 - 19:16
1
risposta

Cookie di sessione HttpSolo impostato dopo la risposta del server iniziale che mostra come vulnerabile

Un cookie di sessione è impostato senza HttpOnly all'inizio, ma aggiunto prima che il browser client finisca il rendering, ancora considerato vulnerabile? Il test dello scanner che ho bisogno di soddisfare crede così, ma è un falso positivo?   ...
posta 20.07.2013 - 08:28
0
risposte

JWT come nonce in backend senza sessione

Sto creando un server API (un gateway) con due limitazioni in mente: Deve essere senza sessione (nessun ID di sessione in un cookie o in nessun luogo, nessun Redis o qualcosa del genere) Devo utilizzare una concessione implicita fornita da...
posta 15.12.2017 - 18:53
1
risposta

Usa salt come identificatore per ID sessione criptato in sistema di autenticazione basato su database per webapp

Ho scritto un framework di autenticazione basato su database per le applicazioni web che sto programmando di programmare in futuro. Il framework è implementato usando il linguaggio plpgsql di un database PostgreSQL e quindi l'estensione pgcry...
posta 17.10.2015 - 19:12
0
risposte

Consentire ai client di terze parti di autenticarsi con un app server

Sto lavorando a un'app che è pianificata per essere concessa in licenza agli OEM, che a sua volta lo offrirebbero come servizio ai propri utenti. Ospiteremmo il server dell'app e l'OEM potrebbe ospitare facoltativamente il client Web dell'app....
posta 24.07.2014 - 02:27
0
risposte

Che cosa causa il timeout delle connessioni di rete wifi? [chiuso]

Mi chiedevo cosa causasse il timeout delle connessioni di rete wifi. per esempio, diciamo che il mio laptop è collegato al mio wifi e io strappo la batteria in modo tale che il mio laptop non possa inviare alcun vero frame di deauthentication 80...
posta 14.02.2014 - 06:22
1
risposta

Rinnovo del tasto di sessione tra due dispositivi vincolati

Non sono appassionato di crittografia e sicurezza in generale, quindi per favore perdona la mia ignoranza. Assumiamo quanto segue: Abbiamo due nodi che sono dispositivi vincolati (risorse non sufficienti per la crittografia asimmetrica) e vog...
posta 05.04.2015 - 19:25