Preguntas con etiqueta 'session-management'

preguntas con etiqueta
2
respuestas

Efectos del nuevo token de sesión aleatorio para cada solicitud HTTP

En una autenticación exitosa, una aplicación web emite una cookie de sesión que es una cadena de longitud constante de caracteres hexadecimales aparentemente aleatorios. 2E5F0FE4B7FCAB78CD967B46AB32915CCBFDC85316FAFB9174BDC4A3745339D8AD9C1D70A...
hecha 13.11.2018 - 05:28
1
respuesta

¿El bloqueo debe terminar la sesión?

Creo que está bien no terminar las sesiones existentes si el usuario está bloqueado debido a un número de intentos de inicio de sesión con la contraseña incorrecta. Debido a que podría ser un ataque y sería inconveniente terminar la sesión exist...
hecha 15.01.2017 - 16:46
1
respuesta

Inducir la renegociación de TLS

¿Es posible inducir la renegociación ssl para un navegador a través de la línea de comandos / una solicitud de rizo? Sé que es posible límite de velocidad ssl renegociación pero no sé cómo hazlo al revés Encontré algunos reclamos del produc...
hecha 17.12.2016 - 13:38
2
respuestas

¿Existe un riesgo adicional al pasar el token de sesión en el cuerpo del mensaje?

Estamos trabajando en una aplicación móvil y estamos utilizando tokens de sesión para la autenticación con un servidor de servicios de fondo. ¿Es un riesgo de seguridad pasar el token de sesión del cliente al servidor en el cuerpo? Esto no es pa...
hecha 21.10.2016 - 23:59
3
respuestas

¿Agregar un hash de una marca de tiempo a una cadena generada aleatoriamente lo hace menos seguro?

Tengo el siguiente código para generar tokens de sesión: binascii.hexlify(os.urandom(16)) + hashlib.md5(str(time.time())).hexdigest() que convierte los 16 bytes generados aleatoriamente para ser usados en formato hexadecimal y agrega un has...
hecha 13.08.2016 - 02:50
1
respuesta

¿Necesito el token CSRF y cómo me agrega protección adicional (Angular / Node SPA)

Estaba leyendo sobre XSRF y me gustaría asegurarme de que entiendo el problema correctamente y saber si mi aplicación está protegida contra ese tipo de ataque. Cómo entiendo que funciona CSRF: agregar una cadena aleatoria (?) que se guard...
hecha 03.08.2016 - 12:47
2
respuestas

¿permite al usuario eliminar sesiones individuales en la cuenta, es seguro insertar sesiones en HTML?

Actualmente estoy creando una aplicación web que permite al usuario ver todas las sesiones activas conectadas a sus cuentas y, si lo desean, eliminarlas individualmente, como Dropbox Una forma en que quiero implementar esto es mediante...
hecha 18.09.2016 - 21:22
1
respuesta

token de sesión criptográfica vs token de sesión aleatorio almacenado [duplicar]

Estoy creando una API web y me cuesta mucho elegir entre token de sesión criptográfica y token de sesión aleatorio para la autenticación de usuario. Veo varios pros y amp; contras para cada uno: token de sesión aleatorio almacenado...
hecha 20.09.2015 - 17:50
1
respuesta

¿Dónde se almacenan en el cliente los tickets / sessionIds de reanudación de la sesión HTTPS?

Con la reanudación de la sesión en TLS / HTTPS, el cliente almacena el SessionID o el ticket de la sesión y lo usa la próxima vez que quiera comunicarse con el servidor. Estoy tratando de encontrar donde el navegador almacena esta información. N...
hecha 24.07.2015 - 19:45
2
respuestas

¿Inicia sesión en un usuario o no después de verificar la dirección de correo electrónico?

Por lo tanto, en un escenario de aplicación web típico, al nuevo usuario se le envía un correo electrónico con un enlace de token sensible al tiempo que, al hacer clic, "activará" su cuenta o "verificará" su dirección de correo electrónico. P...
hecha 02.09.2016 - 08:24