Domande con tag 'session-management'

domande con tag
2
risposte

È necessario terminare la sessione dopo aver chiuso il browser senza disconnettersi?

L'ID sessione generato dopo l'accesso deve essere contrassegnato come non valido quando l'utente chiude il browser senza disconnettersi? Questo potrebbe essere un difetto di sicurezza? Se sì, è possibile sfruttarlo?     
posta 27.07.2016 - 14:16
1
risposta

Correzione della sessione - È presente anche un problema qui?

Qualcuno mi ha contattato per non aver assegnato un nuovo ID di sessione al login di successo. Fondamentalmente mi è stato detto: il fatto che io usi lo stesso cookie (con lo stesso SID) nella pagina di accesso e la sessione autorizzata riman...
posta 16.03.2015 - 15:44
1
risposta

Che cosa possono fare gli amministratori aziendali con le sessioni protette?

L'azienda in cui lavoro ha un server proxy che traccia e filtra le nostre attività web. I dipendenti sostengono di essere in grado di conoscere i collegamenti che abbiamo visitato e di vedere il contenuto dei siti Web HTTP, ma non possono visual...
posta 31.05.2014 - 18:31
1
risposta

Quali sono le principali minacce coinvolte nella memorizzazione degli identificativi di sessione nella memoria locale invece dei cookie?

Desidero conoscere le principali minacce alla sicurezza coinvolte nell'archiviazione delle variabili di sessione nell'archiviazione locale lato client, invece di memorizzarla nei cookie. Qualcuno può darmi una breve descrizione?     
posta 24.10.2014 - 10:51
1
risposta

Implementazione dell'accesso sicuro per un'API

Sto implementando una API Web con cui prevedo di autorizzare l'accesso accettando un nome utente e una password e il nome del sistema e restituendo un sessionid che può essere utilizzato nelle chiamate successive per autorizzare il chiamante....
posta 13.03.2013 - 22:18
1
risposta

Come funziona la funzionalità "Disconnetti tutte le altre sessioni" in Gmail?

In Gmail, nella parte inferiore dello schermo, se fai clic su Dettagli, viene mostrata l'attività recente dell'account e c'è un pulsante per uscire da tutte le altre sessioni. Come funziona? Stanno in qualche modo revocando i cookie dal lato ser...
posta 19.06.2013 - 17:59
1
risposta

Utilizzo di numeri casuali come variabili di sessione

Sto usando numeri generati casualmente come variabili di sessione per identificare le sessioni in un'applicazione PHP. Per rendere ulteriori prove di sicurezza quali sono i modi in cui dovrei seguire?     
posta 12.11.2013 - 09:21
2
risposte

Come implementare sessioni utente sicure usando i cookie HttpOnly?

Sto creando un'applicazione web e voglio consentire agli utenti di accedere (e rimanere connessi). Il mio piano per supportare questo in modo sicuro è il seguente: Accesso utente da un modulo di accesso: in caso di esito positivo, il server...
posta 04.12.2018 - 18:35
3
risposte

Quali ulteriori attenuazioni sono necessarie a causa di "Continua da dove ho interrotto"?

Lavoro con siti sensibili che gestiscono informazioni finanziarie, il mio codice protegge oltre quattro miliardi di sterline di risorse. Tutti i nostri siti hanno un pulsante di disconnessione e inoltre utilizzano i cookie HttpOnly, Secure, S...
posta 28.01.2014 - 19:12
1
risposta

Aiuto con chiarimenti sull'ambito del requisito PCI 8.5.15

La sezione 8.5.15 legge: If a session has been idle for more than 15 minutes, require the user to re-enter the password to re-activate the terminal. La sezione 8 riporta la nota: These requirements are applicable for all accounts,...
posta 23.02.2012 - 21:58