Domande con tag 'session-management'

domande con tag
2
risposte

Come viene inviato l'ID di sessione in modo sicuro?

Sto imparando la gestione delle sessioni e ho due domande per le quali non sono riuscito a trovare risposte sul web. Una volta che l'utente è autenticato, il server crea l'ID sessione e lo invia al client (utente) sotto forma di cookie. Quest...
posta 01.05.2015 - 14:07
1
risposta

App Web con iframe e utente: come gestire la sessione?

Abbiamo un'applicazione che sarà in iframe. I siti partner possono utilizzare la nostra applicazione - inserire iframe nei loro siti. Il sito partner ha utenti con denaro, che utilizzeranno la nostra applicazione in iframe per acquistare arti...
posta 22.07.2014 - 15:54
3
risposte

cookie CSRF vs token basati su sessione

Genererò un token CSRF e lo includerò in un campo modulo nascosto. Quando ricevo la richiesta, verificherò il valore del modulo rispetto al valore memorizzato nella sessione dell'utente o in un cookie. È ancora accettabile dal punto di vista...
posta 23.08.2012 - 16:16
4
risposte

È sicuro memorizzare la password in sessionStorage HTML5?

Sto cercando di migliorare l'esperienza utente sulla registrazione non richiedendo all'utente di ridigitare la password se la convalida su altri campi fallisce. Ci sono alcuni modi per implementarlo, ad esempio usando il cookie di sessione e mem...
posta 05.06.2013 - 05:34
5
risposte

Che cosa fanno le varie "modalità private" del browser?

Recentemente c'è stato qualche disaccordo su cosa significa "modalità privata" quando si tratta di vari browser. Principalmente mi riferisco a ... IE "InPrivate Browsing" "Modalità di navigazione in incognito" di Google Chrome "Naviga...
posta 27.06.2012 - 22:01
1
risposta

Sicurezza Webapp2

Sto codificando un'applicazione web REST che gira su Google App Engine, autentica le richieste API ai dati privilegiati utilizzando sessioni dai cookie forniti da webapp2_extras.auth e webapp2_extras.security. L'intero sito e tutti i punti ut...
posta 21.04.2013 - 20:11
3
risposte

Quale è tipicamente la data di scadenza di un cookie di sessione?

Ho bisogno di creare un cookie di sessione usando JavaScript (per maggiori informazioni vedi domanda ). Mi chiedo quale dovrebbe essere la data di scadenza? Immagino che sia la sessione di navigazione, quindi se non imposto una data di scadenza...
posta 03.04.2013 - 19:10
1
risposta

Comprensione Vulnerabilità legata alla fissazione della sessione

Cosa ho letto Ho letto le seguenti risorse sulla risoluzione della sessione, ma ho ancora difficoltà a comprendere alcuni aspetti di questo tipo di vulnerabilità: Guida alla sicurezza di Ruby on Rails § 2.7 Correzione della sessione ....
posta 15.04.2014 - 21:25
2
risposte

Quanto dovrebbe durare il timeout assoluto della sessione?

Il foglio Cheat di OWASP Session Management ( link ) consiglia di implementare un timeout di sessione assoluto (oltre alla sessione inattiva tempo scaduto). Significa che l'applicazione obbliga l'utente a eseguire nuovamente l'autenticazione ind...
posta 29.11.2015 - 21:44
3
risposte

Perché Tornado non ha sessione

Ho sentito che i cookie sono meno sicuri della sessione. Ad esempio, se un web utilizza un cookie per rilevare se un utente ha effettuato l'accesso o meno, le persone possono creare un cookie per simulare un utente falso perché può leggere il c...
posta 05.09.2017 - 05:45