Preguntas con etiqueta 'session-management'

preguntas con etiqueta
1
respuesta

Manejo de la condición de carrera en el momento de renovar la sesión

   Recientemente he hecho esta pregunta en SO. Como la pregunta no fue respondida todavía, se me ocurrió un enfoque. Pero quería comprobar si no hay ningún defecto de seguridad en esta solución. Pregunta Había escrito un complemento de adm...
hecha 08.10.2018 - 04:13
2
respuestas

¿JWT o cookie de sesión para API para aplicaciones web y móviles?

He estado leyendo todo lo que pude sobre este tema durante los últimos días y no puedo decidir cuál sería el mejor enfoque. Los dos únicos requisitos son: Necesito conocer los usuarios que han iniciado sesión y cada sesión que tienen, pa...
hecha 10.10.2018 - 16:29
0
respuestas

¿Puede PASETO reemplazar JWT para la autorización de la API?

¿Se ha evaluado seriamente el servidor PASETO con clave simétrica como un candidato viable para reemplazar JWT para la autorización de sesión de API? JWT enlace enlace PASETO único enlace     
hecha 10.09.2018 - 04:57
1
respuesta

Harden contra la escalada de privilegios en microservicios

Considere el siguiente escenario. El sistema tiene un conjunto de propietarios de negocios (es decir, usuarios del sistema) Cada propietario de empresa se asigna a un conjunto de clientes Los propietarios de negocios inician sesión en el...
hecha 21.10.2018 - 10:50
0
respuestas

Múltiples sesiones sshd para un inicio de sesión único SSH

Estaba revisando /var/log/auth.log y noté que por alguna razón, no todas las veces, pero a veces cuando me conectaba a través de SSH veía entradas como las siguientes: donde había varias sesiones abiertas ( exactamente al mismo tiempo) para un i...
hecha 25.08.2018 - 06:49
1
respuesta

¿Debe el cliente tener acceso al token de acceso de la API de terceros?

Estoy tratando de determinar si usar un Token provisto por un servicio de Terceros directamente, O emitir mi propio Token personalizado y almacenar el lado del servidor de Terceros de Token. Flujo de autenticación El usuario autentica...
hecha 30.08.2018 - 12:40
0
respuestas

¿Por qué algunas aplicaciones móviles me mantienen conectado y otras aplicaciones me desconectan?

Tengo algunas aplicaciones de banca móvil en mi iPhone y tengo que iniciar sesión cada vez que quiera usar la aplicación. También tengo otra aplicación de una institución financiera diferente que me mantiene conectado. Solo tuve que iniciar sesi...
hecha 06.04.2018 - 21:36
0
respuestas

¿Persiste la salida de HMAC en lugar del ID de sesión?

En lugar de persistir un token generado aleatoriamente, he visto una estrategia de persistir la salida de HMAC-SHA256 utilizando el token y una clave privada. ¿La razón para usar una función hash con una clave privada es que un atacante neces...
hecha 31.01.2018 - 02:04
2
respuestas

¿Cómo invalidar una sesión en el cierre del navegador?

Tengo una aplicación web donde la sesión web debe caducar después de un período de tiempo estipulado. Sin embargo, capturar un evento de cierre del navegador no es una buena idea para invalidar una sesión de usuario. ¿Cuál puede ser una soluc...
hecha 26.09.2012 - 13:39
1
respuesta

es un cálculo secreto pre-maestro diferente al usar certificados de cliente

¿Se utiliza la información presente en el certificado del cliente al calcular el secreto maestro previo de la sesión en TLS? En otras palabras, para una sesión dada, ¿el secreto pre-maestro será diferente dependiendo de si el certificado del cli...
hecha 11.09.2017 - 09:27