Domande con tag 'session-management'

domande con tag
1
risposta

Firma i cookie di sessione

Play Framework per Scala supporta i cookie di sessione firmati. Nel file di configurazione dell'applicazione è presente un "segreto dell'applicazione" che viene impostato come numero casuale sicuro quando il codice sorgente dell'applicazione vie...
posta 27.12.2013 - 15:14
1
risposta

Invio del cookie di sessione all'interno del corpo della risposta HTTP

È noto che la pratica sicura di impostare un cookie di sessione utilizza Set-Cookie header con Secure e HttpOnly flags. Ma ci sono problemi di sicurezza con l'invio di cookie all'interno del corpo di risposta HTTP (e richiesta)? A...
posta 26.09.2016 - 16:04
1
risposta

API che non consente di invalidare la sessione sul lato server - come renderla più sicura?

Sto scrivendo un'app intorno a un'API REST che non consente al server di invalidare una sessione, ovvero non esiste un endpoint come logout che renderà invalido il cookie che la mia app utilizza da ora in poi. Quindi vedo che se un hack...
posta 17.07.2015 - 15:56
1
risposta

Se ogni richiesta Web viene registrata

Vedo spesso che è consigliabile registrare l'IP dell'utente. Ho pensato di allegare queste informazioni al record di sessione nel database, ma l'IP può cambiare durante la vita di una sessione. E se l'utente preferisce mantenere la sessione aper...
posta 05.01.2017 - 13:32
2
risposte

Protezione di un'app JavaScript con RESTful backend

Ho esaminato la domanda Protezione di un singolo JavaScript App di pagina con backend RESTful che contiene discussioni / opzioni relative alla protezione di un'app per client JavaScript che richiama API RESTful. Tuttavia, dalle discussioni,...
posta 03.04.2015 - 05:24
2
risposte

Qual è il rischio per la sicurezza di abilitare la connessione persistente (HTTP Keep-Alive)?

A mio parere, l'intestazione HTTP Keep-Alive impone se il prossimo pacchetto di comunicazioni verrà inviato tramite la stessa connessione o no, cioè se l'app Web viene eseguita su SSL e viene abilitata la funzione Keep-alive per, ad esempio 60 s...
posta 14.01.2017 - 21:42
1
risposta

Qual è il rischio di inserire dati semanticamente significativi in un identificatore di sessione HTTP?

Attualmente sto valutando l'ottimizzazione delle prestazioni e sto prendendo in considerazione un modo per accelerare la gestione delle sessioni basata sui cookie. Ci sono vantaggi nell'avere un identificativo di sessione in atto quando non ci s...
posta 09.03.2013 - 00:50
3
risposte

Scelta di un algoritmo ID sessione per una relazione client-server

Sto sviluppando un'applicazione che ha una relazione client-server, e ho difficoltà a decidere sull'algoritmo in base al quale viene determinato l'identificatore di sessione. Il mio obiettivo è limitare gli impostori dall'acquisizione di dati pr...
posta 02.12.2012 - 21:49
1
risposta

Fissazione della sessione in Java

Durante lo sviluppo di un'applicazione jsp / servlet vulnerabile, ho tentato di introdurre la vulnerabilità della fissazione della sessione. In riferimento alla documentazione sono arrivato con il seguente codice che, se usato nel servlet p...
posta 11.11.2014 - 12:58
4
risposte

Quanto è pericoloso archiviare la password con hash nella memoria locale?

Sto guardando un'applicazione web che fa qualcosa che trovo molto insolito nella gestione delle sessioni di accesso. L'applicazione esegue l'hashing della password con SHA256 e sale e la salva nella memoria di sessione o nella memoria locale...
posta 21.05.2018 - 19:40