Preguntas con etiqueta 'cookies'

preguntas con etiqueta
5
respuestas

¿Cómo evita el envío de datos de cookies a través de HTTP la primera vez? [duplicar]

Puede usar HSTS para decirle al navegador que siempre use HTTPS en futuras solicitudes. Puede usar el indicador Cookie Secure que a partir de ahora solo enviará cookies a través de HTTPS. Puede usar redireccionamiento basado en DNS per...
hecha 12.03.2018 - 21:14
1
respuesta

¿Por qué cada sitio me hace reconocer el uso de cookies? [cerrado]

En el último año, más o menos, todos los demás sitios de la red comenzaron a mostrar diferentes tipos de notificación de que están utilizando cookies y debería tenerlo en cuenta. La gran cantidad de sitios diferentes que hicieron esto me hizo ab...
hecha 09.10.2014 - 11:21
3
respuestas

¿Alguien debe apoyar / implementar las políticas P3P? ¿Importan? ¿Son legalmente vinculantes?

La autenticación de Google y Facebook tienen políticas P3P falsas en los encabezados HTTP que enlazan a una página web que explica por qué no lo admiten: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.p...
hecha 29.10.2011 - 18:05
5
respuestas

protección CSRF con ID de sesión

Para protegerme contra CSRF, ¿no podría mi javascript de página simplemente insertar dinámicamente el id de sesión de la cookie en el cuerpo de cada solicitud HTTP justo antes de que se envíe? El servidor simplemente validaría eso (valor reci...
hecha 14.05.2013 - 10:28
2
respuestas

¿Necesito el token CSRF si estoy usando Bearer JWT?

Contexto : el sitio angular está alojado en S3 detrás de CloudFront, separado del servidor Express que se usa como API y casi todas las solicitudes son XMLHttpRequests. Todas las solicitudes se envían sin cookies (con credenciales = falso por d...
hecha 29.09.2017 - 14:25
2
respuestas

¿Por qué se considera que las cookies son más seguras contra XSS?

Este artículo trata sobre el almacenamiento de tokens de sesión en una cookie vs en localStorage: enlace El artículo dice:    Las cookies, cuando se usan con la marca de cookie HttpOnly, no son accesibles   a través de JavaScript, y son...
hecha 09.03.2016 - 10:21
3
respuestas

tokens basados en sesión de cookie CSRF

Generaré un token CSRF y lo incluiré en un campo de formulario oculto. Al recibir la solicitud, compararé el valor del formulario con el valor almacenado en la sesión del usuario o en una cookie. ¿Todavía se considera aceptable desde una pers...
hecha 23.08.2012 - 16:16
4
respuestas

¿Es una cookie segura sin la marca HttpOnly un problema?

Entiendo que las cookies con el indicador de seguridad deben transmitirse a través de una conexión HTTPS. También significa que estas cookies deben protegerse de los adversarios (cookie privada). Por lo tanto, es importante establecer la marca H...
hecha 11.04.2017 - 06:29
1
respuesta

¿Qué cifrado impide la manipulación de las cookies de FedAuth de Windows Identity Foundation (WIF)?

Se me ocurrió que las cookies de WIF FedAuth contienen información de identidad que, de ser manipulada, podría permitir que alguien asuma la identidad de otro usuario. Afortunadamente, WIF realiza de forma criptográfica Autentica el mensaje, p...
hecha 03.11.2011 - 05:33
5
respuestas

Cookies inseguras debido a Load Balancer

Tengo un equilibrador de carga que termina las solicitudes https a http y, por lo tanto, mis servidores backend las ven como http. Como resultado, todas mis cookies se configuran sin una marca de seguridad cuando ve las cookies en la versión htt...
hecha 14.03.2011 - 16:29