Preguntas con etiqueta 'session-management'

preguntas con etiqueta
2
respuestas

¿Es necesario finalizar la sesión después de cerrar el navegador sin cerrar sesión?

¿El ID de sesión generado después de iniciar sesión debe marcarse como no válido cuando el usuario cierra el navegador sin cerrar sesión? ¿Podría ser esto una falla de seguridad? Si es así, ¿es posible explotar esto?     
hecha 27.07.2016 - 12:16
1
respuesta

Fijación de sesión: ¿es eso un problema aquí?

Alguien se me acercó y me dijo que no le asignara un nuevo ID de sesión al iniciar sesión correctamente. Básicamente me dijeron: el hecho de que use la misma cookie (con el mismo SID) en la página de inicio de sesión, así como la sesión autor...
hecha 16.03.2015 - 14:44
1
respuesta

¿Qué pueden hacer los administradores de empresas con nuestras sesiones seguras?

La empresa en la que trabajo tiene un servidor proxy que rastrea y filtra nuestras actividades web. Los empleados afirman que pueden conocer los enlaces que visitamos y ver el contenido de los sitios web HTTP, pero no pueden ver el contenido de...
hecha 31.05.2014 - 16:31
1
respuesta

¿Cuáles son las principales amenazas involucradas en el almacenamiento de los identificadores de sesión en el almacenamiento local en lugar de las cookies?

Quiero saber las principales amenazas de seguridad involucradas en el almacenamiento de las variables de sesión en el almacenamiento local del lado del cliente, en lugar de almacenarlo en las cookies. ¿Alguien me puede dar una breve descripción?...
hecha 24.10.2014 - 08:51
1
respuesta

Implementando un inicio de sesión seguro para una API

Estoy implementando una api web con la que planeo autorizar el acceso aceptando un nombre de usuario y contraseña y el nombre del sistema y devolviendo un id de sesión que puede usarse en llamadas posteriores para autorizar a la persona que llam...
hecha 13.03.2013 - 21:18
1
respuesta

¿Cómo funciona la función "Cerrar sesión en todas las demás sesiones" en Gmail?

En Gmail, en la parte inferior de la pantalla, si hace clic en Detalles, le mostrará la actividad reciente de su cuenta y hay un botón para cerrar la sesión de todas las demás sesiones. ¿Como funciona esto? ¿Están de alguna manera revocando las...
hecha 19.06.2013 - 15:59
1
respuesta

Uso de números aleatorios como variables de sesión

Estoy utilizando números generados aleatoriamente como variables de sesión para identificar las sesiones en una aplicación PHP. Para hacer más pruebas de seguridad, ¿qué formas debo seguir?     
hecha 12.11.2013 - 08:21
2
respuestas

¿Cómo implementar sesiones de usuario seguras utilizando cookies de HttpOnly?

Estoy creando una aplicación web y quiero permitir que los usuarios inicien sesión (y mantengan sesión). Mi plan para apoyar esto de forma segura es el siguiente: El usuario inicia sesión desde un formulario de inicio de sesión: cuando tiene...
hecha 04.12.2018 - 17:35
3
respuestas

¿Qué mitigaciones adicionales son necesarias debido a "Continuar donde lo dejé"?

Trabajo con sitios confidenciales que manejan información financiera, mi código protege más de cuatro mil millones de libras de activos. Todos nuestros sitios tienen un botón de cierre de sesión y, además, utilizan cookies de sesión HttpOnly,...
hecha 28.01.2014 - 18:12
1
respuesta

Ayuda para aclarar el alcance del requisito de PCI 8.5.15

Lee la sección 8.5.15:    Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario   para volver a ingresar la contraseña para reactivar el terminal. En la sección 8 se lee una nota de acompañamiento:    Estos re...
hecha 23.02.2012 - 20:58