Preguntas con etiqueta 'session-management'

5
respuestas

¿Puede proteger una aplicación web de FireSheep sin utilizar SSL?

Suponga que desea otorgar a algunos usuarios web acceso privilegiado a su sitio web, pero no puede (o no desea) ofrecer SSL a todos ellos, al menos después de la página de inicio de sesión inicial. En este caso, ¿hay alguna forma de administr...
hecha 23.12.2010 - 02:40
6
respuestas

¿Es suficiente esta seguridad de inicio de sesión?

Voy a encontrar mi próximo sistema de inicio de sesión para administradores de un sitio web de comercio electrónico, que tendrá esto: el formulario de inicio de sesión tiene seguridad SSL la contraseña se convierte a SHA-256 antes de ser t...
hecha 21.06.2011 - 04:53
6
respuestas

¿No puede un usuario cambiar la información de su sesión para hacerse pasar por otros?

¿No puede un atacante cambiar la información de su sesión (o cookie porque está almacenada localmente) y luego engañar al servidor para que sea el usuario legítimo? Por ejemplo, si un sitio web utiliza el identificador de la base de datos com...
hecha 19.10.2016 - 16:38
2
respuestas

¿Tiene sentido hacer un hash de un ID de sesión antes de pasarlo a un socio publicitario?

Mi empresa tiene una tienda web. Trabajamos con un socio que otorga cupones de descuento a nuestros clientes después de que compran (los cupones se pueden usar en otras tiendas en línea) y también entregan cupones para nuestra tienda a clientes...
hecha 23.05.2013 - 10:27
4
respuestas

Secuestro de sesión - regenerar ID de sesión

¿La regeneración del ID de sesión en cada solicitud mitiga la probabilidad de un secuestro de sesión suficiente para que valga la pena implementarlo? Me imagino que combinar un cheque para REMOTE_ADDR vs REMOTE_ADDR almacenado en las variable...
hecha 20.12.2010 - 18:16
3
respuestas

¿Por qué Firefox y Chrome “filtran” información de seguridad crítica del navegador y cómo puedo detenerla?

Al estudiar el protocolo SSL / TLS y el cifrado, encontré un método que describe cómo exportar las claves de sesión SSL / TLS de Firefox a un usuario o variable de entorno fuera del navegador, y luego descifrar los paquetes TLS usando Wireshark...
hecha 04.12.2015 - 20:29
2
respuestas

Clave de sesión vs token de acceso Outh

¿Existe alguna ventaja en las sesiones basadas en cookies de OAuth vs (establecidas a través de un nombre de usuario / contraseña) según los siguientes supuestos? Solo hay un cliente legítimo para el servicio El secreto del cliente de OAut...
hecha 15.09.2012 - 02:49
3
respuestas

¿Cómo funciona FaceNiff?

FaceNiff es una aplicación de Android que rastrea los identificadores de sesión de Facebook. Debes estar conectado al mismo WiFi que la víctima. Se dice que funciona incluso cuando WPA2 está presente. ¿Como es posible? ¿Puedo descifrar la comuni...
hecha 27.06.2011 - 19:47
2
respuestas

Protección de robo de cookies de sesión

Estoy analizando cómo proteger un sitio web para que no le roben su cookie de sesión. Estos son los controles que sé que son ampliamente conocidos / utilizados: HTTPS en todas partes Utilice solo una cadena aleatoria creada de forma segura...
hecha 15.05.2013 - 19:00
6
respuestas

¿Cómo puede un usuario defenderse contra el secuestro de una sesión?

Dado un sitio web con varias fallas de seguridad, una de ellas es el secuestro de sesión, el token de sesión se envía continuamente como un argumento sobre HTTP no seguro. En mi campo no es sorprendente que otras personas rastreen las redes que...
hecha 03.01.2017 - 00:33