Preguntas con etiqueta 'session-management'

preguntas con etiqueta
2
respuestas

Recordarme versus sesión persistente para aplicaciones web

Esta pregunta está destinada a recopilar información sobre cuáles son las ventajas / desventajas específicas de la seguridad al usar una función de "recordarme" para un sitio web en línea que se basa en sesiones en comparación con hacer que la s...
hecha 28.06.2016 - 14:53
2
respuestas

¿Por qué recomienda OWASP "Deshabilitar sesiones de tablas cruzadas del navegador web"

He estado revisando la hoja de trucos para la gestión de sesiones de OWASP y no entiendo el razonamiento detrás del sugerencia para " Inhabilitar sesiones de tabla cruzada del navegador web ". ¿De qué manera el uso de la misma ID de sesión par...
hecha 25.11.2015 - 10:52
2
respuestas

Evita el secuestro de la sesión, donde un atacante roba el ID de la sesión (cookie) del navegador físicamente

Considere un caso en el que un atacante tiene acceso físico a la máquina del usuario durante 20-30 segundos. El atacante puede usar este tiempo para robar la cookie del usuario (por ejemplo, usar el complemento EditThisCookie) y enviarse las co...
hecha 02.03.2016 - 08:49
4
respuestas

¿Por qué se requiere MITM para el secuestro de sesión?

Según tengo entendido, el concepto básico de secuestro de sesión es interceptar un paquete en el que la víctima envía sus cookies / credenciales de sesión a un servidor, ya sea Facebook / Twitter / YouTube / Lo que sea. Pero dondequiera que mi...
hecha 23.01.2016 - 00:37
1
respuesta

Administración de sesiones de una sola página

Tengo una aplicación de una sola página que es totalmente HTML + JS + CSS (que usa marcos como jQuery y AngularJS) y una API del lado del servidor que usa ASP.NET WebApi. El SPA se sirve en un servidor similar a un CDN y también se empaqueta...
hecha 09.01.2016 - 16:18
3
respuestas

Pasar el ID de sesión en la cadena de consulta para mantener el estado en un iframe de terceros: ¿buena práctica?

Me gustaría permitir que el usuario "inicie sesión" y mantenga el estado / sesión iniciada entre las páginas dentro de un iframe. El contenido de iframe es nuestro y se alojará en los sitios web de varios clientes. Como es probable que la coo...
hecha 01.12.2014 - 13:58
1
respuesta

Protegiendo al usuario del acceso no autorizado

Por lo tanto, estamos planeando agregar una función a nuestra aplicación que sea similar a lo que hace Google, pero un poco más estricta: Tiene una lista de sesiones vinculadas a un agente de usuario y una dirección IP (?) (Google muestra un...
hecha 15.05.2018 - 02:16
2
respuestas

¿Es malo si la clave de sesión se pasa en texto sin formato en la URL?

En una clase, se nos dijo que es peligroso poner la clave de sesión en la URL porque podría ser almacenada en caché, ya sea por el navegador o por un proxy, etc. ¿Es esto correcto? Incluso si se almacenó en caché, ¿no debería regenerarse la clav...
hecha 03.04.2016 - 06:31
1
respuesta

¿Cómo puedo detectar si IETF TokenBinding está en uso para los tokens de portador?

La vinculación de tokens aumenta la seguridad de los tokens tradicionales de portador (cookies). Este blog describe que ASP.NET puede usar el enlace de token. Como asesor de seguridad, me gustaría observar o detectar que esto se hace desde un...
hecha 13.03.2016 - 13:32
1
respuesta

Padding RSA / ECB / PKCS1: encriptación de una clave de sesión JavaScript

¿Cómo hacer el modo ECB cuando se trata de RSA? No lo entiendo El documento de autenticación Aadhar ( enlace página 33) dice que tenemos que usar RSA / ECB / PKCS1Padding pero I No encuentro ninguna referencia al modo cuando se trata de RSA....
hecha 04.06.2015 - 14:18