1
危険な状態の署名済みのCookieの内容は検査できますが、変更はできません。 Itsdangerousをクライアント側のセッション管理に使用する際に、既知のセキュリティ上の問題または考慮点はありますか。このよう セキュリティに関する問題は、セッション管理にとって危険ですか?
- ユーザーID
- URLとして
問題のセッションは、任意のパスワードを保存しませんが、ユーザーを識別するために、明らかにいくつかの情報、
A
答えて
1
シグネチャでタイムアウトを使用していない場合、攻撃者は別のユーザー(または管理者)からクッキーを簡単に取り替えることができます。セッションIDはより不透明であり、攻撃者がそれぞれを試してみる必要がありますが、署名された文字列をオンザフライで(つまりオープンプロキシサーバー上で)検査することができます。
関連する問題
- 1. セッションにuser_idを格納するのは危険ですか?
- 2. 危険なテキストを評価するのは危険ですか?
- 3. ジャージーのセキュリティとセッション管理
- 4. ユーザーに自分のセッションIDを公開することは危険ですか?
- 5. 危険ですか?イベントについて
- 6. オープンソースサービスは危険ですか?
- 7. instanceofは危険ですか?
- 8. セッション管理の問題
- 9. egrepを使って$ _GETと$ _POSTを危険に使用する
- 10. {{post.image.url}}上の{{post.get_image_url}}を使用すると、ウェブがセキュリティ上危険ですか?
- 11. 危険なphp関数
- 12. アセンブリ言語は危険ですか?
- 13. オープンソースのWebフレームワークは危険ですか?
- 14. DelphiのExit文は危険ですか?
- 15. 私のHTMLフォームは危険ですか?
- 16. strtol、strtodは危険ですか?
- 17. ヘルプは、危険な
- 18. 潜在的に危険なクエリ文字列を処理する
- 19. 危険度を明白にする
- 20. 危険なパスエラー
- 21. Ajaxの危険
- 22. セキュリティ情報に関する問題メッセージポップアップボックス
- 23. Android:セキュリティに関する問題SQLite db
- 24. デスクトップアプリケーションのセキュリティに関する問題
- 25. 危険なforループイディオム?例にとり
- 26. JS関数でJS関数を渡すXSSの危険性は何ですか?
- 27. JavaScriptネームスペースの使用に関連する危険性はありますか?
- 28. Pythonはバイナリファイルを扱うのに危険ですか?
- 29. string.Emptyを使用すると危険ですか?
- 30. weblogicのセッションに関する問題
REST APIエンドポイントへの1つのアプローチでは、署名された文字列は、ログイン時にパスワードでサーバーによって提供され、ユーザーIDと共に各要求時に送信され、有効期限はX時間です。署名された文字列もサーバーに格納されます。ログアウトすると、文字列はサーバーから消去されます。そうすれば、文字列(トークン)は2時間の一時パスワードとして機能します(またはログアウトがある場合は少なくなります)。 – Soferio