Domande con tag 'session-management'

domande con tag
1
risposta

Modifica dell'ID di sessione dopo il login

La mia applicazione web è accessibile solo per gli utenti autenticati. Prima di accedere l'utente può solo vedere la pagina principale con un pulsante per accedere. L'applicazione assegna un ID di sessione sulla pagina principale, l'autenticazio...
posta 26.12.2017 - 19:21
2
risposte

Accordo di due generali

Sto cercando di capire un protocollo di accordo su un canale inaffidabile. Fondamentalmente due parti (A e B) devono accettare di fare qualcosa, quindi è il problema di due generali . Poiché non esiste una soluzione a prova di proiettile, st...
posta 03.12.2011 - 17:26
1
risposta

Un protocollo Secure Cookie

Come dice il titolo, sto cercando di implementare un protocollo di cookie sicuro HMAC(username|expiration name|data|session key, sk) Sembra che la chiave di sessione non sia costante durante tutta la durata della sessione dell'applicazion...
posta 20.09.2012 - 01:05
2
risposte

Flag sicuro cookie di sessione: best practice

Ci sono 2 modi per impostare il flag 'sicuro' su un cookie di sessione: Nell'applicazione stessa, ad esempio: <session-config> <cookie-config> <http-only>true</http-only> <secure>true</...
posta 16.09.2016 - 13:38
2
risposte

Lega l'ID di sessione alla sessione SSL

Il sito Web OWASP dice: Tie the session ID to the SSL session and provide configurable options for actions to take if the session ID is transmitted over a new SSL session. Non sono sicuro che sia effettivamente valido. Può davvero...
posta 29.09.2015 - 19:17
4
risposte

Utilizza i cookie una volta rubati

Ho visto molti post sul furto di cookie, infatti ho approfittato della vulnerabilità XSS per inviare il cookie al mio php attraverso una variabile nell'URL a un php, e che php scrive il cookie in un file. (Penso che sia uno dei processi normali)...
posta 21.10.2014 - 09:45
5
risposte

Perché i siti Web bancari ti disconnettono sempre dopo un periodo di inattività?

Sembra che ogni singolo banking & sito web finanziario che ho usato mi disconnette dopo un certo periodo di tempo. Esistono requisiti legali o motivi tecnici per i siti finanziari per fare ciò? O è solo la loro forma di "sicurezza" per im...
posta 02.04.2014 - 00:41
2
risposte

Le sessioni PHP sono basate su cookie o su una coppia IP cookie?

Ho un sito Web PHP e la mia domanda è: Se qualcuno riesce a rubare i cookie dei miei utenti tramite un attacco XSS, è sufficiente che sia identificato come utente? O anche il suo IP deve essere uguale all'utente che ha effettuato l'accesso?...
posta 24.08.2011 - 15:17
3
risposte

I nomi di cookie casuali sono una buona idea?

Quali sono i vantaggi in termini di sicurezza che offrirebbero i nomi dei cookie in modo casuale su un sito web? Quali sono alcune delle sfide che creerebbe?     
posta 21.11.2010 - 01:45
2
risposte

SSL Handshake non riuscito

Sto lavorando su un'applicazione desktop Windows che viene creata usando C ++ (IDE: Qt creator). Ha un pannello di login, dove faccio la convalida dell'utente tramite la connessione https usando la libreria 1.0 di openssl. L'applicazione funzion...
posta 05.02.2014 - 08:42