Domande con tag 'session-management'

domande con tag
4
risposte

È necessario crittografare i dati della sessione?

Mi sono imbattuto in una classe di gestione delle sessioni in PHP che crittografa i dati della sessione nella cartella di archiviazione della sessione (ad esempio, /tmp ) e può essere decrittografata in un secondo momento nel tuo script util...
posta 19.08.2012 - 19:55
5
risposte

Un utente può avere la possibilità di accedere da più sedi contemporaneamente?

In passato, ho sempre utilizzato una singola sessione per impostazione utente, ma sto lavorando a un progetto ora in cui è possibile accedere a un utente da più postazioni / browser contemporaneamente. Quali sono i problemi di sicurezza per l...
posta 23.03.2012 - 17:43
2
risposte

È possibile forzare una nuova sessione SSL

Utilizzando strumenti come Wireshark, è possibile decifrare il traffico SSL come client registrando il (pre) master secret, senza usare un attacco mitm o la chiave privata del server. Ma ho trovato che per alcuni siti web, l'ID della sessione ss...
posta 03.06.2013 - 14:30
2
risposte

Mantenere viva la sessione utente - considerazioni sulla sicurezza

Abbiamo recentemente sviluppato alcune funzionalità per la nostra app Web per consentire a un utente di rimanere connesso a tempo indeterminato, e sono interessati a conoscere le implicazioni sulla sicurezza di farlo. L'obiettivo era prevenire l...
posta 12.11.2012 - 12:08
3
risposte

In che modo le app mobili mantengono sessioni così lunghe pur essendo considerate sicure?

Ho aperto la mia app Amazon iOS per la prima volta in diversi mesi oggi, e sono stato in grado di passare direttamente al checkout (dove sono stato in grado di visualizzare e aggiornare il mio indirizzo) senza essere stato invitato a re-auth. Co...
posta 01.06.2017 - 01:31
4
risposte

Utilizzo dell'hash della password come ID di sessione?

Per un'app web client ricca, sul server ho bisogno di verificare che ogni chiamata provenga da un utente legalmente connesso. Ovviamente l'ID utente non è sufficiente, perché è facile da indovinare. Ho un'idea di cui sono scettico, ma non rie...
posta 30.06.2011 - 18:32
2
risposte

È sicuro memorizzare la password nella sessione PHP?

Ho bisogno di fare alcune crittografie nella zona privata del mio sito web e voglio bcrypt della password dell'utente. È sicuro memorizzare la password nella sessione quando l'utente effettua il login, in modo che possa usarlo in seguito...
posta 21.08.2012 - 16:29
4
risposte

È un token di sessione sufficiente per le applicazioni critiche

Quindi per anni ho utilizzato vari controlli utente in cima al token di sessione che sono stati rilasciati per massimizzare la sicurezza. Ora sto cercando di sviluppare un sistema di sessioni su server separati e mi chiedo se questo è ancora...
posta 24.11.2015 - 11:34
4
risposte

Perché ci fidiamo delle informazioni di sessione sul filo ma non di un token di accesso OAuth?

Ho dedicato molto tempo alla creazione di un'API che deve essere accessibile da un'applicazione JavaScript a pagina singola e su come renderla il più sicura possibile. Molto di quello che sto leggendo su standard come OAuth suggeriscono che n...
posta 09.12.2014 - 15:27
2
risposte

Libro moderno, attento alla sicurezza, in PHP?

Dopo aver creato un semplice sistema di login e provato a proteggerlo da cose come SQL injection, Session Hijacking, XSS, ecc., ho scoperto che mi piace molto fare questo tipo di cose. Mi piacerebbe prendere un libro e approfondire tutti i detta...
posta 17.07.2013 - 17:41