Preguntas con etiqueta 'session-management'

3
respuestas

¿Decidir si el usuario ha abandonado el sitio sin cerrar sesión o simplemente ha dejado el sitio abierto para recibir notificaciones sin realizar ningún trabajo?

Estoy desarrollando mi sitio usando sesiones del lado del servidor usando redis como backend para guardar la sesión. Ahora el problema que me preocupa es si el usuario abandona el sitio web sin cerrar sesión. Me refiero a que el usuario simpl...
hecha 05.03.2012 - 12:57
2
respuestas

¿Qué factores aumentan la probabilidad de duplicar un GUID?

Se ha argumentado que un GUID no hace un buen trabajo como un token de seguridad de una sola vez , y tiene sentido porque los GUID no son aleatorios. En mi situación: supongamos que una empresa determinada está usando GUID como un token de s...
hecha 18.12.2011 - 00:15
1
respuesta

Cómo forzar al navegador a solicitar al usuario que vuelva a enviar el certificado después de cerrar la sesión

Tenemos un sitio web que admite la autenticación basada en formulario (es decir, basada en el nombre de usuario y la contraseña) y la autenticación de certificado donde un usuario envía su certificado, el nombre de usuario se extrae del certific...
hecha 07.03.2016 - 15:09
1
respuesta

¿Cómo ejecutar sesiones múltiples mientras se escanea una aplicación a través de Burp?

Al escanear una aplicación a través de Burp, descubrí que si uso varios subprocesos, se producen errores de sesión como . El ID de sesión solicitado parece no ser válido. Es posible que haya más de una ventana / pestaña del Administrador de tare...
hecha 06.01.2015 - 10:18
2
respuestas

Con el ataque BREACH, ¿el token CSRF basado en sesión sigue siendo seguro?

Esto es algo que no he podido envolver, si BREACH permite filtrar información, ¿tenemos que enmascarar o generar el token CSRF de forma temporal o por solicitud para hacerlo más seguro? Hasta donde sé, el token CSRF basado en sesión puede pr...
hecha 11.10.2013 - 09:07
4
respuestas

Guardar las contraseñas y recordar las funciones

(Por cierto, todo esto está codificado en PHP, estoy seguro de que lo sabrás a partir de la siguiente función) Al guardar contraseñas, soy consciente de que tiene que cifrar sus contraseñas, de hecho, aquí está mi código (dígame si es lo sufi...
hecha 06.08.2016 - 14:18
2
respuestas

Autenticación de Windows e identificadores de sesión

Después de una prueba de penetración realizada en una aplicación de intranet que estoy desarrollando, en ASP.NET MVC, una de las inquietudes planteadas fue que la aplicación admite sesiones de usuarios concurrentes y se recomienda que la aplicac...
hecha 12.12.2013 - 16:50
1
respuesta

¿Puedes robar la cookie de sesión con el ataque BREACH?

La mayoría de las discusiones sobre la vulnerabilidad BREACH se refieren al robo de tokens CSRF basados en sesiones. Pero si puede robar un token basado en sesión, ¿podría también robar el token de sesión? Obviamente, hay algunos puntos más fino...
hecha 27.02.2015 - 23:26
2
respuestas

¿Cuántos datos debo almacenar en la computadora de un usuario sobre su información de inicio de sesión?

Actualmente estoy guardando la información de "inicio de sesión" de un usuario (¡no su contraseña sin formato, por supuesto!). Cada dispositivo / navegador obtiene su propia ID segura del servidor, todo bien y bien. Sin embargo, ¿también debo...
hecha 21.10.2015 - 00:32
2
respuestas

¿Cuál es un buen período de tiempo antes de actualizar el token CSRF de la sesión del usuario?

Estoy usando un token de formulario para evitar ataques CSRF. Esos tokens se almacenan y se vinculan a la sesión de un usuario. Ahora quiero actualizar el token solo cada N minutos u horas para que el usuario no tenga problemas de uso, como el b...
hecha 23.04.2014 - 15:38