Preguntas con etiqueta 'cookies'

preguntas con etiqueta
2
respuestas

¿Estas dos formas son seguras?

Tengo dos escenarios y quiero saber si cada uno es seguro o qué riesgo existe. Número uno: Si el usuario tiene el enlace de edición (editar / [md5hash]) puede editar una publicación. La tecla de edición (el hash) está en un campo de form...
hecha 02.05.2013 - 00:44
2
respuestas

Autenticación basada en token bajo http

Estoy haciendo una autenticación basada en token pero enfrentando algunos problemas de seguridad. En el sistema, un usuario iniciará sesión de la siguiente manera: Escriba el nombre de usuario y la contraseña para iniciar sesión en una págin...
hecha 03.12.2013 - 07:34
1
respuesta

Se necesita protección CSRF para las solicitudes GET

Tengo una API REST que permite a los usuarios autenticados leer datos sobre su propia cuenta y realizar cambios en sus cuentas. Para la autenticación utilizo JWTs almacenados como cookies httpOnly. Para protegerse contra los ataques CSRF, la API...
hecha 17.08.2018 - 17:06
1
respuesta

Preguntas de implementación de cookie de envío doble

He leído en la pregunta Double Submit Cookies y mientras responda Un montón de preguntas todavía estoy un poco confundido. He echado un vistazo a este repositorio: enlace El resumen de esta implementación es que en la solicitud autenti...
hecha 12.10.2017 - 19:47
2
respuestas

Recordarme versus sesión persistente para aplicaciones web

Esta pregunta está destinada a recopilar información sobre cuáles son las ventajas / desventajas específicas de la seguridad al usar una función de "recordarme" para un sitio web en línea que se basa en sesiones en comparación con hacer que la s...
hecha 28.06.2016 - 14:53
1
respuesta

¿Cuáles son los riesgos de permitir el almacenamiento de cookies persistentes en su sistema?

Por lo general, los riesgos de las cookies persistentes se describen desde el punto de vista del sitio, no del usuario: si implementa cookies persistentes, la probabilidad de que alguien robe una cookie y la use para acceder a su sitio sin la de...
hecha 03.12.2015 - 13:47
2
respuestas

Evita el secuestro de la sesión, donde un atacante roba el ID de la sesión (cookie) del navegador físicamente

Considere un caso en el que un atacante tiene acceso físico a la máquina del usuario durante 20-30 segundos. El atacante puede usar este tiempo para robar la cookie del usuario (por ejemplo, usar el complemento EditThisCookie) y enviarse las co...
hecha 02.03.2016 - 08:49
1
respuesta

Solicitudes del servidor proxy + reenvío de información de autenticación de manera segura

Estamos utilizando PassportJS con un par de servidores Node.js. Passport es solo una biblioteca que es popular para la autenticación del servidor Node.js, pero tenemos algunas preguntas sobre cómo usar Passport con solicitudes "proxy". Mi pregun...
hecha 03.11.2015 - 02:30
1
respuesta

¿Existe una protección sólida contra CSRF ejecutada desde el servidor de Sames a través de un XSS almacenado?

Si tenemos un dominio con vulnerabilidad de XSS almacenado. ¡Sé que ya es crítico! .. Pero, estoy hablando de limitar el daño. El pirata informático no puede obtener la cookie de sesión del administrador, porque está marcada como httponly y e...
hecha 12.01.2015 - 11:59
2
respuestas

La necesidad de incluirSubDomains en HSTS RFC

Estoy tratando de entender la directiva includeSubDomains en el estándar de seguridad estricta de transporte HTTP. En particular, sección 14.4 de RFC 6797 me confunde. El punto 2 dice    La solicitud HTTP enviada a uxdhbpahpdsf.example.c...
hecha 21.01.2015 - 13:04