Leí muy atentamente OWASP, pero no estoy seguro de algunas partes de mi sitio web.
-
Estoy usando jbcrypt en mi sitio web. Almacena la sal en el hash en sí algo como este hash + sal. Leí en algún lugar que debería almacenar la sal en una base de datos diferente, de lo contrario, sería vulnerable de nuevo a Rainbowtables.
-
Mi marco es muy nuevo (Play! framework 2.x) y tengo que hacer algo de administración de cookies. El marco ofrece sesiones firmadas. Sin embargo, esas "sesiones" no son sesiones, son solo SessionCookies. También tuve que firmar las galletas por mi cuenta.
La cookie de sesión se desvanece cuando el usuario cierra su navegador y necesito una solución más permanente.
Lo que hice:
Si el usuario inicia sesión con éxito:
- Creo una cadena aleatoria y la coloco en mi caché
randomstring -> user - Huelvo la cadena aleatoria y la puse en una cookie.
- Ahora, si el usuario tiene una cookie válida, crearé una "sesión" a partir de la cookie.
No estoy 100% seguro de si esto es correcto, pero esto es lo que pensé que sería correcto.
Recurso: ¿Este enfoque para asegurar la cookie es seguro? y www.OWASP.com
- Ahora esta parte podría ser peligrosa. Tengo un archivo de configuración en mi código fuente - > Todas las contraseñas se almacenan en el mismo lugar.
No pude encontrar nada sobre esto. ¿Dónde debo almacenar esas credenciales como la credencial de AWS, las contraseñas de la base de datos, la contraseña de correo ...?