Preguntas con etiqueta 'session-management'

1
respuesta

Firmando cookies de sesión

El Play Framework para Scala tiene soporte para cookies de sesión firmadas. En el archivo de configuración de la aplicación hay un "secreto de aplicación" que se establece como un número aleatorio seguro cuando se inicializa el código fuente de...
hecha 27.12.2013 - 15:14
1
respuesta

Enviando cookie de sesión dentro del cuerpo de respuesta HTTP

Se sabe que la práctica segura de configurar una cookie de sesión es usar el encabezado Set-Cookie con las banderas Secure y HttpOnly . Pero, ¿hay algún problema de seguridad con el envío de cookies dentro del cuerpo de respu...
hecha 26.09.2016 - 16:04
1
respuesta

API que no permite invalidar la sesión en el lado del servidor. ¿Cómo hacerlo más seguro?

Estoy escribiendo una aplicación alrededor de una API REST que no permite que el servidor invalide una sesión, es decir, no hay un punto final como logout que haga que la cookie que está usando mi aplicación no sea válida de ahora en adel...
hecha 17.07.2015 - 15:56
1
respuesta

¿Se debe registrar cada solicitud web?

Con frecuencia veo que se recomienda registrar la IP del usuario. Pensé en adjuntar esta información al registro de la sesión en la base de datos, pero la IP puede cambiar durante la duración de una sesión. Y si el usuario prefiere mantener la s...
hecha 05.01.2017 - 13:32
2
respuestas

Asegurar una aplicación de JavaScript con un backend RESTful

Pasé por la pregunta Asegurando un JavaScript individual Aplicación de la página con backend RESTful que tiene discusiones / opciones para asegurar una aplicación del lado del cliente Javascript que invoque las API RESTful. Sin embargo, a p...
hecha 03.04.2015 - 05:24
2
respuestas

¿Cuál es el riesgo de seguridad de habilitar la conexión persistente (HTTP Keep-Alive)?

Según tengo entendido, el encabezado HTTP Keep-Alive determina si el próximo paquete de comunicación se enviará a través de la misma conexión o no, es decir, si la aplicación web se ejecuta sobre SSL y si está habilitada la función Keep-Alive, p...
hecha 14.01.2017 - 21:42
1
respuesta

¿Cuál es el riesgo de poner datos semánticamente significativos en un identificador de sesión HTTP?

Actualmente estoy considerando la optimización del rendimiento y estoy considerando una forma de acelerar el manejo de sesiones basado en cookies. Hay ventajas en tener un identificador de sesión cuando no se hace referencia a los datos del lado...
hecha 09.03.2013 - 00:50
3
respuestas

Elegir un algoritmo de ID de sesión para una relación cliente-servidor

Estoy desarrollando una aplicación que tiene una relación cliente-servidor, y tengo problemas para decidir el algoritmo por el cual se determina el identificador de sesión. Mi objetivo es impedir que los impostores adquieran los datos privados d...
hecha 02.12.2012 - 21:49
1
respuesta

Fijación de sesión en Java

En el proceso de desarrollo de una aplicación vulnerable basada en jsp / servlet, intenté introducir la vulnerabilidad de la fijación de sesión. Refiriéndose a la documentación Vine con el siguiente código que, cuando se utiliza en el servl...
hecha 11.11.2014 - 12:58
4
respuestas

¿Qué tan peligroso es almacenar la contraseña con hash en el almacenamiento local?

Estoy viendo una aplicación web que hace algo que encuentro muy inusual en el manejo de las sesiones de inicio de sesión. La aplicación borra la contraseña con SHA256 y salt y la guarda en el almacenamiento de la sesión o en el almacenamiento...
hecha 21.05.2018 - 19:40