Domande con tag 'session-management'

domande con tag
0
risposte

Aggiungi al carrello Token CSRF

Ho token CSRF ovunque sul mio sito di e-commerce che usano i moduli POST. Tuttavia, non voglio iniziare una sessione (con un cookie) a meno che non sia assolutamente necessario (principalmente perché sto usando la cache della vernice, e non vogl...
posta 08.06.2017 - 14:17
0
risposte

App web vulnerabili per testare la previsione dell'identificativo di sessione [chiusa]

Voglio imparare a testare la forza dell'identificatore di sessione. Quindi ho bisogno di un'applicazione web con questo tipo di vulnerabilità e di eseguire l'app localmente. Ho provato WebGoat, ma ho bisogno di altre app Web note per avere un id...
posta 03.05.2017 - 06:17
1
risposta

Handshake SSL non riuscito con 'Certificato sconosciuto' [chiuso]

Abbiamo un'applicazione che è attualmente in esecuzione tramite il protocollo Http. Puntiamo a migrarlo verso Https. Abbiamo apportato le modifiche necessarie e, durante il login all'applicazione, ricevo un messaggio di errore "peer not authenti...
posta 04.08.2017 - 17:04
0
risposte

È possibile utilizzare un token CSRF come identificativo di sessione anziché come cookie?

Qualcuno ha posto la stessa domanda qui: Dovrebbe token CSRF senza sessione lavoro sui cookie? ma le persone che rispondono sembrano incerte. Quindi, perché qualcuno ha bisogno di un cookie se utilizza un token incorporato in un modulo? Sono e...
posta 19.11.2016 - 04:35
1
risposta

problema di sessione HTTP non sicuro

Un'applicazione java supporta due ruoli utente. Admin e nonAdmin. Accedi come amministratore, il browser ottiene l'ID JSESSION. Accedi come utente non Admin da un'altra macchina. Il browser ottiene un altro ID JSESSION. Ora modifica questo...
posta 24.09.2016 - 20:01
0
risposte

Incoerenze dei dati di sessione e pagine PHP [chiuso]

Ho un problema e non sono immediatamente sicuro su come risolverlo. Ho creato un sistema di login sicuro su un server HTTPS (con un voto di "A" da SSL-labs, se questo vale qualcosa), e funziona bene, tuttavia oggi si rifiuta di collegarmi, co...
posta 17.11.2015 - 22:21
0
risposte

Flusso e sessioni delle credenziali del client OAuth [chiuso]

Quando un server Web utilizza le credenziali del client per eseguire OAuth e accedere alle API in un servizio di backend, dovrebbe creare un token per ogni accesso utente al server web?     
posta 13.08.2015 - 01:14
0
risposte

Qual è il metodo più sicuro per la gestione della sessione Web per più domini?

In base all'attuale posizione della sicurezza Web, qual è il metodo più sicuro / consigliato per la gestione della sessione Web: cookie di sessione, cookie jar, token Web o altro? Il requisito è quello di sviluppare un singolo segno sulla ges...
posta 31.07.2015 - 14:42
1
risposta

TLS: potrebbe la sessione ripresa e la sessione originale nella stessa connessione?

In tls 1.2, sappiamo che ogni connessione è associata a una sessione, e la ripresa della sessione può essere usata per stabilire rapidamente una nuova connessione usando l'ID di sessione della sessione originale di una vecchia connessione, per d...
posta 08.06.2015 - 14:54
0
risposte

SAML senza sessione

C'è un modo per implementare l'autenticazione basata su SAML su un IdP in cui il client mantiene le informazioni sulla sessione? L'idea è che una server farm con carico bilanciato per l'SP sia in grado di rimanere completamente senza stato e non...
posta 11.02.2015 - 15:21