Domande con tag 'session-management'

domande con tag
2
risposte

Effetti del nuovo token sessione casuale per ogni richiesta HTTP

In caso di autenticazione con esito positivo, un'applicazione Web emette un cookie di sessione che è una stringa di lunghezza costante di caratteri esadecimali apparentemente casuali. 2E5F0FE4B7FCAB78CD967B46AB32915CCBFDC85316FAFB9174BDC4A3745...
posta 13.11.2018 - 05:28
1
risposta

Il blocco dovrebbe terminare la sessione?

Penso che sia corretto non terminare le sessioni esistenti se l'utente è bloccato a causa di un numero di tentativi di accesso con la password sbagliata. Perché potrebbe essere un attacco e sarebbe scomodo terminare la sessione esistente ogni vo...
posta 15.01.2017 - 16:46
1
risposta

Inducendo la rinegoziazione TLS

È possibile indurre la rinegoziazione di ssl per un browser tramite la riga di comando / una richiesta di arricciatura. So che è possibile limitare la ssl rinegoziazione ma non so come fallo al contrario. Ho trovato alcune affermazioni del...
posta 17.12.2016 - 13:38
2
risposte

C'è un ulteriore rischio nel passare il token di sessione nel corpo del messaggio?

Lavoriamo su un'app mobile e utilizziamo i token di sessione per l'autenticazione con un server back-end. È un rischio per la sicurezza passare il token di sessione dal client al server nel corpo? Questo non è per l'autenticazione, ma più sempli...
posta 21.10.2016 - 23:59
3
risposte

L'aggiunta di un hash di un timestamp a una stringa generata casualmente lo rende meno sicuro?

Ho il seguente codice per generare i token di sessione: binascii.hexlify(os.urandom(16)) + hashlib.md5(str(time.time())).hexdigest() che converte i 16 byte generati casualmente per l'uso in formato esadecimale e aggiunge un hash del timesta...
posta 13.08.2016 - 02:50
1
risposta

Ho bisogno del token CSRF e di come mi aggiunge protezione aggiuntiva (Angular / Node SPA)

Stavo leggendo su XSRF e mi piacerebbe assicurarmi di aver compreso correttamente il problema e sapere se la mia applicazione è protetta da quel tipo di attacco. Come comprendo CSRF funziona: aggiungendo una stringa casuale (?) che viene...
posta 03.08.2016 - 12:47
2
risposte

consente all'utente di eliminare singole sessioni sull'account, sessioni di incorporamento sicure in HTML?

Attualmente sto creando un'applicazione web che consente all'utente di visualizzare tutte le sessioni attive collegate ai propri account e, se lo desiderano, eliminarle singolarmente, ad esempio Dropbox Un modo in cui voglio implementar...
posta 18.09.2016 - 21:22
1
risposta

token di sessione crittografico vs token di sessione casuale memorizzato [duplicato]

Sto creando un'API web e ho difficoltà a scegliere tra token di sessione crittografico e token di sessione casuale memorizzato per l'autenticazione dell'utente. Vedo diversi pro e amp; contro per ciascuno: token sessione casuale me...
posta 20.09.2015 - 17:50
1
risposta

Dove sono i ticket di ripresa della sessione HTTPS / sessionIds memorizzati sul client?

Con la ripresa della sessione in TLS / HTTPS il client memorizza il sessionID o il ticket di sessione e lo usa la prossima volta che vuole comunicare con il server. Sto cercando di trovare dove il browser memorizza queste informazioni. Non sono...
posta 24.07.2015 - 19:45
2
risposte

Accedi a un utente o meno dopo aver verificato l'indirizzo email?

Quindi, in uno scenario tipico di app web, al nuovo utente viene inviata una sorta di email con un link token time sensitive che, una volta fatto clic, "attiva" il proprio account o "verifica" il proprio indirizzo email. Domanda: Noi o no...
posta 02.09.2016 - 08:24