Preguntas con etiqueta 'session-management'

preguntas con etiqueta
0
respuestas

Agregar al carrito Token CSRF

Tengo tokens CSRF en todas partes en mi sitio de comercio electrónico que usan formularios POST. Sin embargo, no quiero iniciar una sesión (con una cookie) a menos que sea absolutamente necesario (principalmente porque estoy usando caché de barn...
hecha 08.06.2017 - 14:17
0
respuestas

Aplicaciones web vulnerables para probar la predicción del identificador de sesión [cerrado]

Quiero aprender a probar la fuerza del identificador de sesión. Así que necesito una aplicación web con este tipo de vulnerabilidad y ejecuto la aplicación localmente. He intentado WebGoat, pero necesito que otras aplicaciones web tengan un iden...
hecha 03.05.2017 - 06:17
1
respuesta

Error de protocolo de enlace con 'Certificado desconocido' [cerrado]

Tenemos una aplicación que se está ejecutando actualmente a través del protocolo Http. Estamos apuntando a migrarlo a Https. Hemos realizado los cambios necesarios y, luego, durante el inicio de sesión en la aplicación, aparece un mensaje de err...
hecha 04.08.2017 - 17:04
0
respuestas

¿Se puede usar un token CSRF como identificador de sesión en lugar de una cookie?

Alguien ha hecho la misma pregunta aquí: En caso de que CSRF no tenga sesión cookie funciona? Pero las personas que responden parecen inciertas. Entonces, ¿por qué alguien necesita una cookie si está utilizando un token incrustado en un formul...
hecha 19.11.2016 - 04:35
1
respuesta

problema de sesión HTTP inseguro

Una aplicación basada en java soporta dos roles de usuario. Admin y nonAdmin. Inicie sesión como administrador, el navegador obtiene el ID de JSESSION. Inicie sesión como usuario no administrador desde otra máquina. El navegador obtiene ot...
hecha 24.09.2016 - 20:01
0
respuestas

inconsistencias en los datos de la sesión y la página de PHP [cerrado]

Tengo un problema y no estoy seguro de cómo resolverlo. He estado construyendo un sistema de inicio de sesión seguro en un servidor HTTPS (con una calificación de "A" por SSL-labs, si vale la pena), y funciona bien, sin embargo, hoy se niega...
hecha 17.11.2015 - 22:21
0
respuestas

Flujo de credenciales de cliente de OAuth y sesiones [cerrado]

Cuando un servidor web usa la concesión de credenciales de cliente para realizar OAuth y acceder a las API en un servicio backend, ¿debería crear un token para cada usuario que inicie sesión en el servidor web?     
hecha 13.08.2015 - 01:14
0
respuestas

¿Cuál es el método más seguro para el manejo de sesiones web para múltiples dominios?

Según el estado actual de la seguridad web, ¿cuál es el método más seguro / recomendado para el manejo de la sesión web: cookies de sesión, archivos de cookies, tokens web o cualquier otra cosa? El requisito es desarrollar un inicio de sesión...
hecha 31.07.2015 - 14:42
1
respuesta

TLS: ¿podrían la sesión reanudada y la sesión original en la misma conexión?

En tls 1.2, sabemos que cada conexión está asociada con una sesión, y la reanudación de la sesión se puede usar para establecer una nueva conexión rápidamente utilizando el ID de sesión de la sesión original de una conexión antigua. Además, la s...
hecha 08.06.2015 - 14:54
0
respuestas

SAML sin sesión

¿Hay alguna forma de implementar la autenticación basada en SAML en un IdP donde el cliente guarda la información de la sesión? La idea es que una granja de servidores con equilibrio de carga para el SP pueda permanecer completamente sin estado...
hecha 11.02.2015 - 15:21