Preguntas con etiqueta 'session-management'

preguntas con etiqueta
1
respuesta

¿En qué nivel se convierte la entropía clave de sesión en un problema del mundo real?

Digamos que tenemos una clave de sesión de entre 0000000000-9999999999, que proporciona 33.2bits de entropía. Esto está muy lejos de los 128 bits recomendados por la mayoría. Por supuesto, normalmente es trivial cambiar las claves de sesión p...
hecha 10.03.2015 - 17:40
2
respuestas

¿Qué medidas deben tomarse para autenticar de forma segura el tráfico web a una conexión WebSocket?

Obviamente, TLS es una necesidad para cualquier autenticación segura. Por favor, cambia tu configuración de paranoia hasta 11 para esto. Antecedentes : (En caso de que las personas no estén familiarizadas con el protocolo WebSocket (WS) y su...
hecha 30.07.2015 - 19:58
2
respuestas

¿Se debe enviar un ID de sesión a través de una conexión no cifrada?

Me estoy enseñando a mí mismo un toque de la seguridad de la información más básica mientras toco con el desarrollador web, para que pueda comprender mejor la imagen completa. Supongamos que mi sitio web tiene cuentas de usuario que tienen in...
hecha 19.02.2015 - 02:46
2
respuestas

¿Tiene un servidor HTTP acceso al ID de sesión SSL?

Quiero saber si un servidor HTTP (Apache, nginx, etc.) puede acceder a un ID de sesión SSL / TLS. Supongamos que tenemos un hardware que solo hace SSL / TLS y detrás de un servidor web que envía y recibe las solicitudes. ¿Puede el servidor web "...
hecha 24.04.2013 - 14:40
1
respuesta

Token de sesión incrustado en el formulario

Tengo un token de sesión que está almacenado en un lado del cliente de cookies del navegador. La cookie ya está disponible para secuencias de comandos y se utiliza para validar XHR a través de Javascript. Para una página en particular, estoy usa...
hecha 24.12.2011 - 19:55
1
respuesta

¿Cómo funcionan las cookies junto con el enlace de token?

Enlace de token es un mecanismo donde el cliente envía un token firmado al servidor. Debido a que este token se basa en una clave privada, es más difícil de robar que las cookies de sesión. Lo que no entiendo es cómo el token de enlace de toke...
hecha 29.05.2017 - 10:18
1
respuesta

¿El almacenamiento de datos de sesión en la DMZ está bien en una aplicación web empresarial de n niveles?

Supongamos que tengo una aplicación web estándar de varios niveles con servidores web en la DMZ y varios servicios a los que solo se puede acceder desde una aplicación web autenticada. Supongamos también que la aplicación web utiliza sesiones de...
hecha 18.12.2016 - 15:41
1
respuesta

¿La conexión VPN cliente-servidor de una computadora portátil debe durar días?

Durante los últimos días estuve experimentando con dejar que mi computadora portátil hibernara en lugar de apagarme a diario (siempre he sido un tipo de apagado, pero estoy intentando actualizarme). Mientras viajaba por negocios, utilicé la VPN...
hecha 16.06.2016 - 16:53
1
respuesta

Posibles problemas cuando una o más cookies no son HttpOnly

Tengo una pregunta relacionada con la cookie HttpOnly. El seguimiento de otros subprocesos no fue de mucha ayuda, por lo tanto, estoy publicando mi consulta aquí para saber si puede prever algún problema con mi comprensión. Hay un sitio web,...
hecha 25.06.2015 - 05:29
1
respuesta

¿Cómo evaluar el nivel de seguridad de la generación de ID de sesión?

Durante unas pocas semanas observamos una colisión en la generación de ID de sesión, lo que resultó en que dos operadores se conectaron de forma independiente a una aplicación web de prueba que compartía la misma sesión. Investigamos el problema...
hecha 22.07.2015 - 12:24