Preguntas con etiqueta 'session-management'

preguntas con etiqueta
4
respuestas

Asegurar la aplicación web de código abierto

Tengo un sitio web de código abierto. Necesito agregar una sección de administración al sitio web al que solo puede acceder una persona. Para hacerlo seguro, estaba pensando en proporcionar una página de inicio de sesión que compruebe si la cont...
hecha 02.02.2013 - 18:34
1
respuesta

Aclaración sobre cómo funcionan los ataques de reparación de sesión

Comenzando con OWASP estoy aprendiendo cómo funcionan los ataques de fijación de sesión. Este es el escenario: el atacante tiene el ID de sesión generado por el servidor (al iniciar sesión, por ejemplo) y envía un hipervínculo con el mismo...
hecha 31.01.2018 - 15:04
1
respuesta

Miedo con respecto a los tokens de sesión

He leído recientemente que las sesiones funcionan de la siguiente manera: Se verifican sus credenciales. Un token se genera y almacena en el lado del servidor, por ejemplo, UUID, y este token se entrega al cliente donde se almacena durante...
hecha 26.05.2016 - 21:40
2
respuestas

Autenticación LDAP y sesiones

Dada una aplicación web con inicio de sesión basado en formulario y un directorio central: usar el enlace LDAP (rápido) en una aplicación con el usuario real tiene varias ventajas (a diferencia de usar un usuario del servicio y hacer una verific...
hecha 04.02.2015 - 08:31
2
respuestas

¿Podrían mitigarse los ataques HTTPS como CRIME cambiando la cookie de sesión regularmente?

Acabo de leer sobre CRIME que es un ataque para robar información confidencial mediante la creación de solicitudes. ¿Se podría mitigar este ataque, si el servidor no enviara al cliente la clave de sesión real para guardar en una cookie, sino u...
hecha 06.08.2014 - 16:40
1
respuesta

Cómo almacenar de forma segura accesstoken en Android

Tengo una aplicación web que almacena su accesstoken en localstorage. También tiene una aplicación para Android que es básicamente una envoltura de vista web de la aplicación web. En este caso, el almacenamiento local se guardará en la...
hecha 03.11.2016 - 12:25
2
respuestas

Renovar el token de acceso para la concesión implícita de OAuth2

Queremos utilizar la Subvención implícita OAuth2 tal como se propone para aplicaciones de una sola página. Para aplicaciones de JavaScript que no tienen una sesión web clásica. Las aplicaciones solo tienen tokens de acceso que caducan después...
hecha 09.08.2016 - 11:40
1
respuesta

¿Es un riesgo de seguridad que los navegadores puedan obtener imágenes (y / u otros recursos) de forma cruzada entre dominios?

La misma política de origen nos protege del sitio malintencionado que manipula los datos en nuestro sitio de confianza al no permitir solicitudes que envíen la cookie de autenticación, por ejemplo. Pero si entiendo correctamente, las imágenes, l...
hecha 27.10.2016 - 10:58
1
respuesta

Probando una caja negra para la configuración de la sesión de autenticación de sonido

¿Cómo probaría si un sitio web en el que me he autenticado correctamente (actualmente en sesión) ha configurado mi ID de sesión de manera segura y no es vulnerable? Creo que una ID de sesión debería estar oculta como mínimo (en lugar de hacer...
hecha 20.10.2016 - 14:14
1
respuesta

¿Cómo puede ser seguro almacenar un Id. de usuario como sesiones del lado del cliente?

La documentación para el manejo de sesiones en ninjaFramework indica:    [...] Ninja utiliza las llamadas sesiones del lado del cliente. La cookie en sí almacena la información que desea adjuntar a esa sesión.   [...]   Las sesiones de ninj...
hecha 02.09.2015 - 13:42