session-management

Вопрос или проблема Я хочу узнать, опасно ли как-то хранить идентификатор текущей сессии вошедшего пользователя в исходном коде страницы. Почему я хотел это сделать? Я пытаюсь поделиться сессией пользователя между двумя приложениями: одним (основным) на PHP и другим на Node.

Вопрос или проблема Эта рекомендация OWASP говорит: крайне рекомендуется использовать директиву Cache-Control: no-cache=”Set-Cookie, Set-Cookie2″, чтобы разрешить веб-клиентам кэшировать все, кроме идентификатора сессии Но документы Mozilla

Вопрос или проблема В последние пару дней я читал всё, что мог, на эту тему, и не могу решить, какой будет лучший подход. Единственными требованиями являются: Мне нужно знать пользователей, которые вошли в систему, и все их сессии, чтобы пользователь

Вопрос или проблема Я хотел бы узнать, не могли бы вы просмотреть эту схему аутентификации для веб-приложения. === Страница входа === Проверка учетных данных => Сервер выдает JWT => Хранится в куки JWT содержит: exp: таймстамп uid: UserID HMAC-SHA512

Вопрос или проблема У меня есть веб-приложение, которое отправляет этот cookie после входа в систему: Set-Cookie: ASP.NET_SessionId=55adfqwdf6qdqrgsdfg; path=/; HttpOnly; SameSite=Lax Если я теоретически украду идентификатор сессии и использую его в другом

Вопрос или проблема Я разрабатываю приложение на JavaScript, которое будет работать в веб-браузере, а также как псевдо-нативное мобильное приложение с помощью Apache Cordova. Оно взаимодействует через API с отдельным серверным сервисом.

Вопрос или проблема Я разрабатываю приложение для ведения заметок, которое будет хранить заметки и файлы пользователей в зашифрованном виде в базе данных и на Backblaze соответственно. Приложение не будет иметь сквозного шифрования, но данные будут зашифрованы

Вопрос или проблема Я хочу написать скрипты для входа на сайты клиентов, чтобы сделать их более безопасными. Я хочу знать, какие лучшие практики я могу внедрить в это. Существует множество панелей управления с защитой паролем, но очень немногие, похоже

Вопрос или проблема В процессе разработки уязвимого приложения на основе jsp/servlet я попытался внедрить уязвимость фиксации сессии. Обратившись к документации, я разработал следующий код, который, когда используется в сервлете для создания новой сессии

Вопрос или проблема Можно ли использовать токен доступа как сессионную кукурузу в браузере? И как его защитить? Сценарий таков: у вас есть обновляющий токен, который действителен в течение более длительного периода времени, и токен доступа, который действителен