Bir kuruluş için güvenli bir web sitesi geliştiriyorum. Bilinen tüm güvenlik açıklarından mükemmel şekilde korunmasını istiyorum. Güvenli çerezler oluşturmaya ve HTTPOnly'yi etkinleştirmeye rastladım, ancak bu örnekte bir oturum kimliğiyle çerez değeri kullanıyorlardı. Anlamadım Bu şekilde kullanmak bir tehdit oluşturmaz mı?Çerezde oturum kimliği kaydetme kavramı nedir?
cevap
İstemciden oturuma gelen istekleri eşleştirmek için bir oturum kimliği istemciye ve sunucuya geri göndermeniz gerekir.
AFAIK, oturum kimliğini iletmenin yalnızca iki yolu vardır: Çerez veya parametre olarak (çoğu durumda, istekleri desteklemek için bir URL parametresi olur). Oturum kimliğini parametre aracılığıyla gönderme, bir saldırganın öntanımlı bir oturum kimliğiyle (oturum sabitleme) bağlantı kurabileceğinden bir güvenlik açığıdır; zira çerezlerle aynı şeyi yapmak en azından zor olsa da (imkansız değilse).
Oturum kimliğini url parametreleriyle göndermek, yalnızca bir güvenlik sorunu olmakla kalmaz. Birisinin URL'yi kopyalar ve birisine gönderir ("şuna bak") veya web'de bir yere gönderdiğinizi varsayalım. Oturum mevcut olduğu sürece, bu bağlantıya erişen herkes aynı seansı kullanır ve birbirleriyle iftihar eder. Verilmişse, bir kullanıcıyı oturumdan bağımsız olarak tanımlamanın yolları vardır (ip, mac adresi vb.) Ancak bu önlemler çoğu zaman uygulanabilir değildir veya başka kısıtlamalar getirmez (örneğin, gezici mobil kullanıcıları nasıl yönetirsiniz?).
Harika bir açıklama için teşekkürler. Ardından, sözüm ona, java servlet'te cookie tarafından geçirilen oturum kimliğiyle bir oturum oluşturmalı ve daha fazla manipülasyon için bu oluşturulan oturum kimliğini kullanmalıyım. – user2695448
@ user2695448 Uygulamanızdaki oturuma erişmeniz gerekiyorsa, evet, oturum kimliğini bir çerezde geçirirsiniz ve her isteği isteğinizi çerez değerine göre ilişkilendirirsiniz. Bu normalde zaten Tomcat gibi standart web sunucuları tarafından ele alınmalıdır. vb. Eğer bir seansa ihtiyacınız yoksa, yani her şey sadece okunur veya uygulamanız tüm görüş durumunu/seansı müşteriye ve geri geçirir, o zaman bunu yapmanıza gerek yoktur. – Thomas
- 1. bir oturum kimliği
- 2. Python'da benzersiz oturum kimliği
- 3. Spring Security ile Oturum Kimliği Alınıyor
- 4. Oturum ayarlarını paketler arasında kaydetme
- 5. Oturum Elixir Phoenix'te kaydetme yok
- 6. .NET'te Terminal Hizmetleri Oturum Kimliği Alınıyor?
- 7. PHP - session.use_trans_sid kullanırken oturum kimliği değişiyor
- 8. E-postaların benzersiz kimliği nedir?
- 9. Bekleyen Amaç kavramı nedir? Neden ve Neden Bekliyor?
- 10. Kapanış Groovy Kavramı
- 11. sql-Sızdırmazlık kavramı sqlserver
- 12. Paket ve devralma kavramı java
- 13. Taşınma kavramı ne anlama geliyor?
- 14. Sekme karakterim neden çerezde bir alana dönüşüyor?
- 15. Dize bir çerezde nasıl saklanır ve getirilir
- 16. Git - Bir git taahhüt kimliği nedir?
- 17. Yazı tipinde, dizin imza kimliği nedir?
- 18. CSRF Doğrulama Jetonu: oturum kimliği güvenli mi? asp.net olarak
- 19. Oturum açma sistemi olarak açık kimliği nasıl kullanılır?
- 20. php.ini dosyasını düzenlemeden özel bir oturum kimliği oluşturmanın yolu
- 21. Şu anda oturum açmış olan kullanıcı kimliği Django'da nasıl edinilir?
- 22. aspnet kimliği aynı anda giriş yapın aynı hesap oturum açın
- 23. Nesneleri iki şekilde kaydetme, fark nedir?
- 24. Aynı kullanıcı kimliği birden çok cihazda oturum açmaya çalışırken, diğer cihazdaki oturumu nasıl öldürebilirim? Asp.net Kimlik
- 25. Bir oturum değişkeninin tutabileceği maksimum boyut nedir?
- 26. ASP.NET 3.5 oturum kimliğinin boyutu nedir?
- 27. ASP.NET'teki varsayılan oturum zaman aşımı değeri nedir?
- 28. NHibernate'de StatelessSession ve Oturum arasındaki fark nedir?
- 29. Angular SPA'da kimlik bilgileri kaydetme
- 30. Oturum/2012
Bize mi soruyorsunuz? Neden bir tehdit olacağını düşünüyorsun? – Kayaman
evet Oturum kimliğinin oturumun kendisinden alınabileceği için çerezde oturum kimliği göndermenin nedenini bilmem gerekiyor. – user2695448
Oturum kimliğiniz yoksa (örneğin bir çerezde), oturumu ve kimliğini nereden alabileceğinizi düşünüyorsunuz? Sihirli? – Kayaman