Preguntas con etiqueta 'session-fixation'

2
respuestas

¿Pueden los anuncios leer las cookies del sitio web en el que se encuentra?

Sé que muchos anuncios pueden almacenar cookies de terceros, pero ¿qué pasa con las cookies de lectura? Si es así, ¿qué les impide leer el ID de sesión para realizar el secuestro de sesión?     
hecha 03.01.2018 - 00:00
5
respuestas

Protegiéndose contra ataques de cookies entre subdominios

He estado leyendo sobre ataques de cookies entre subdominios aquí . Una visión general rápida de cómo funciona (de Wikipedia): Un sitio web www.example.com reparte subdominios a terceros no confiables Una de esas partes, Mallory, que a...
hecha 06.04.2013 - 14:35
6
respuestas

¿No puede un usuario cambiar la información de su sesión para hacerse pasar por otros?

¿No puede un atacante cambiar la información de su sesión (o cookie porque está almacenada localmente) y luego engañar al servidor para que sea el usuario legítimo? Por ejemplo, si un sitio web utiliza el identificador de la base de datos com...
hecha 19.10.2016 - 16:38
2
respuestas

Protección de robo de cookies de sesión

Estoy analizando cómo proteger un sitio web para que no le roben su cookie de sesión. Estos son los controles que sé que son ampliamente conocidos / utilizados: HTTPS en todas partes Utilice solo una cadena aleatoria creada de forma segura...
hecha 15.05.2013 - 19:00
1
respuesta

Comprensión de la vulnerabilidad de la fijación de sesión

Lo que he leído He leído los siguientes recursos sobre la fijación de la sesión, pero todavía tengo dificultades para comprender algunos aspectos de este tipo de vulnerabilidad: Guía de seguridad de Ruby on Rails § 2.7 Fijación de sesió...
hecha 15.04.2014 - 21:25
4
respuestas

¿Necesita cifrar los datos de la sesión?

Encontré una clase de administración de sesión en PHP que encripta los datos de la sesión en la carpeta de almacenamiento de la sesión (es decir, /tmp ) y se puede descifrar más adelante en su script con una clave. Me preguntaba si es real...
hecha 19.08.2012 - 19:55
2
respuestas

La mejor manera de establecer de forma segura una cookie de sesión en otro dominio

Actualmente tenemos 2 sitios http://www.foo.co.uk y https://secure.foo.com . El sitio www no tiene un certificado SSL y está en un dominio diferente. Tenemos un botón de inicio de sesión en http://www.foo.co.uk que cuan...
hecha 25.10.2012 - 10:21
1
respuesta

¿Session_regenerate_id () sin verdadero parámetro mejora la seguridad? ¿Debo usarlo justo antes de iniciar sesión?

Quiero reducir la vulnerabilidad del ataque de reparación de sesión, por lo tanto, utilicé session_regenerate_id () antes de iniciar sesión. De alguna manera, ahora estoy en la oscuridad y no estoy seguro de cuál es la respuesta correcta para la...
hecha 27.06.2012 - 08:07
2
respuestas

¿La configuración de mi sesión es lo suficientemente segura?

Estoy desarrollando una aplicación web de alojamiento y uso compartido de archivos. ¿Son las siguientes configuraciones de sesión PHP lo suficientemente seguras? ini_set('session.cookie_httponly', 1); ini_set('session.cookie_lifetime', 0);...
hecha 10.05.2014 - 11:08
1
respuesta

Cambio de id de sesión después de iniciar sesión

Mi aplicación web solo es accesible para usuarios autenticados. Antes de iniciar sesión, el usuario solo puede ver la página principal con un botón para iniciar sesión. La aplicación asigna un ID de sesión en la página principal, la autenticació...
hecha 26.12.2017 - 19:21