Preocupaciones de seguridad sobre mi aplicación web

4

Leí muy atentamente OWASP, pero no estoy seguro de algunas partes de mi sitio web.

  1. Estoy usando jbcrypt en mi sitio web. Almacena la sal en el hash en sí algo como este hash + sal. Leí en algún lugar que debería almacenar la sal en una base de datos diferente, de lo contrario, sería vulnerable de nuevo a Rainbowtables.

  2. Mi marco es muy nuevo (Play! framework 2.x) y tengo que hacer algo de administración de cookies. El marco ofrece sesiones firmadas. Sin embargo, esas "sesiones" no son sesiones, son solo SessionCookies. También tuve que firmar las galletas por mi cuenta.

La cookie de sesión se desvanece cuando el usuario cierra su navegador y necesito una solución más permanente.

Lo que hice:

Si el usuario inicia sesión con éxito:

  • Creo una cadena aleatoria y la coloco en mi caché randomstring -> user
  • Huelvo la cadena aleatoria y la puse en una cookie.
  • Ahora, si el usuario tiene una cookie válida, crearé una "sesión" a partir de la cookie.

No estoy 100% seguro de si esto es correcto, pero esto es lo que pensé que sería correcto.

Recurso: ¿Este enfoque para asegurar la cookie es seguro? y www.OWASP.com

  1. Ahora esta parte podría ser peligrosa. Tengo un archivo de configuración en mi código fuente - > Todas las contraseñas se almacenan en el mismo lugar.

No pude encontrar nada sobre esto. ¿Dónde debo almacenar esas credenciales como la credencial de AWS, las contraseñas de la base de datos, la contraseña de correo ...?

    
pregunta Maik Klein 05.09.2012 - 13:28
fuente

2 respuestas

7
  1. No, esto no es cierto, consulte esto

  2. No puedo comentar sobre esto ya que nunca he usado el marco antes. ¿Está seguro de que no hay una manera de establecer el tiempo de caducidad de la cookie de sesión utilizando el propio marco?

  3. El archivo de configuración debe almacenarse fuera de la raíz web. Consulte mi respuesta aquí . El directorio donde se almacena debe estar adecuadamente asegurado, por supuesto. Deben hacerse cumplir los permisos de archivo adecuados.

respondido por el Ayrx 05.09.2012 - 13:56
fuente
3

Por supuesto, el consejo de Terry para mantener las configuraciones fuera de webroot es correcto para PHP, sin embargo, no se ajusta a la configuración de Play.

Para obtener más detalles, consulte respuesta cruzada en la pila

    
respondido por el biesior 06.09.2012 - 00:04
fuente

Lea otras preguntas en las etiquetas