Preguntas con etiqueta 'session-management'

preguntas con etiqueta
1
respuesta

¿Es más seguro almacenar información valiosa en un cliente inseguro o enviar los datos a través de Internet?

Fondo: Estoy creando una aplicación web segura con el propósito de actuar como un almacenamiento sin conocimiento para datos pequeños (estamos hablando de algunos bytes). Dado que todo el cifrado y el descifrado se producen en el lado del cli...
hecha 22.05.2015 - 14:50
1
respuesta

ID de sesión SSL en reanudación basada en ticket TLS

Tenemos un servidor que admite la reanudación de sesiones sin estado basadas en tickets TLS. Sin embargo, cuando me conecto al servidor con openssl s_client, todavía veo que se genera un ID de sesión junto con el ticket TLS. ¿Cuál es el signific...
hecha 30.10.2015 - 22:57
1
respuesta

Configuraciones de configuración para sesiones en php

Recientemente encontré los siguientes ajustes de configuración: use-strict-mode hash-bits-per-character función hash y tengo algunas preguntas sobre ellos: Use-strict-mode dice lo siguiente :    session.use_strict_mode es...
hecha 25.04.2014 - 01:35
1
respuesta

¿Hay módulos para fortalecer las sesiones de Symfony 2?

Estamos pensando en construir una nueva aplicación sobre Symfony 2, pero la seguridad es nuestra principal prioridad. Después de investigar un poco, parece que hay una serie de opciones integradas para la administración de la sesión (p. Ej., PDO...
hecha 29.01.2013 - 21:31
2
respuestas

Almacene oAuth básico para una sesión en un sitio web

No estoy seguro de si hay una buena manera de hacer esto. Actualmente tengo un sitio web en el que los usuarios inician sesión. En ese sitio web hay páginas que tienen llamadas API a otro servicio, este servicio utiliza:    Autorización: nomb...
hecha 05.02.2018 - 16:34
1
respuesta

¿Se garantiza que una cadena aleatoria en una cookie y un encabezado sean lo mismo para proteger contra XSRF?

En un esquema de cookie-to-header para enviar los tokens xsrf / csrf , el servidor establece un número pseudoaleatorio criptográficamente seguro como una cookie en la máquina del cliente. Se espera que el código de script java en la máquina cl...
hecha 29.10.2017 - 02:52
1
respuesta

Fijación de sesión OpenID con CSRF

Esta respuesta describe una situación en la que se puede usar CSRF para engañar a un usuario final para que ingrese una tarjeta de crédito en la cuenta de Paypal de otra persona. También destaca el hecho de que las solicitudes GET que cambian...
hecha 08.11.2011 - 17:50
2
respuestas

¿Por qué la entropía del ID de sesión solo sería la mitad de la longitud del ID de sesión?

En esta página en el sitio web de OWASP, hay una frase sobre la entropía de identificación de sesión que encuentro bastante extraño:    El valor del ID de sesión debe proporcionar al menos 64 bits de entropía (si se utiliza un buen PRNG, s...
hecha 06.10.2016 - 22:29
1
respuesta

¿Por qué los nombres de usuarios generalmente no se almacenan en las cookies de sesión y se les proporcionan ID de sesión?

Últimamente he estado leyendo un poco sobre seguridad y me he preguntado esto. ¿Por qué las ID de sesión no son esencialmente contraseñas temporales vinculadas al nombre de usuario? Ambos se envían desde el cliente y el servidor los verifica con...
hecha 02.07.2016 - 22:11
1
respuesta

¿Cómo evitar que los datos sean interceptados?

Soy un desarrollador web. Hace unos días, utilicé Burp para interceptar la aplicación oficial de Facebook a través de la red, configurando el proxy. Noté que los datos estaban encriptados. Mientras he estado utilizando Json para comunicar...
hecha 13.03.2016 - 15:01