1. Accueil
  2. Question et réponse
  3. Sécuriser des sessions

Sécuriser des sessions

2009-10-07 8 views
0

Je sais que le SO n'est pas utilisé de cette façon (ou peut-être l'est), mais j'ai appris à propos de la sécurité webapp et je pensais qu'il serait sympa et encourageant d'entendre les experts de SO dire ce qu'ils en pensent article (je le lis maintenant, c'est sur la sécurité de la session).Sécuriser des sessions

http://carsonified.com/blog/dev/how-to-create-bulletproof-sessions/

Peut-être que nous pouvons avoir une discussion quelconque, préciser ce que l'auteur a mal/oublié et ce que les meilleures pratiques sont là? Par exemple, quand il s'agit d'un sujet de sécurité différent comme les injections sql, beaucoup de personnes recommandent des choses comme mysql_real_escape_strings, mais les experts vous diront que rien ne vaut les instructions préparées. D'après les commentaires, cet article semble avoir ses problèmes, alors je me demande à quel point son contenu est bon ou mauvais.

Source

2009-10-07 Chris

+0

Ceci doit être un wiki de communauté. S'il vous plaît modifier votre question et cochez la case appropriée. –

+0

Les wikis communautaires ont-ils la même visibilité que les questions? – Chris

+0

@Chris, oui Les questions CW ont la même visibilité. –

Répondre

1

Je pense que l'article est assez sympa, mais ce ne sont que des concepts de base et si quelqu'un essaie sérieusement de faire une application sérieuse en matière de sécurité, des choses comme ça seront traitées. En d'autres termes, le niveau de l'article est assez bas.

Des problèmes comme une attaque de type "man-in-the-middle" ne sont pas abordés ici (bien que je puisse imaginer que quelque chose de ce genre soit généralement hors de portée de la couche application). Une autre vulnérabilité possible peut être la génération de nombres aléatoires. Donc, en fonction de la mise en œuvre de la génération de la clé de session, l'entropie des clés de session pourrait être beaucoup plus faible que l'entropie maximale possible, ce qui peut rendre possible ou non les attaques par force brute.

Donc, cela dépend vraiment des exigences de sécurité que vous avez comme la solution, il n'y a pas de solution de sécurité unique qui fonctionne dans tous les cas. Pour appliquer ce dernier, imaginez que vous avez un identifiant de session valide et que vous savez à quelle adresse IP la session est liée. Supposons également que la cible dans cet exemple est une banque. Maintenant, je peux effectuer une demande pour transférer de l'argent sur mon compte, et faire ce travail en usurpant mon adresse ip et en fournissant la session volée. Ok, la réponse de ma requête n'arrivera jamais puisque l'adresse IP est usurpée, mais qu'importe, j'ai eu l'argent puisque le serveur a accepté ma demande. Le point est que, selon le contexte, vos exigences de sécurité et donc vos solutions de sécurité peuvent varier considérablement.

Source

2009-10-07 22:42:01 Henri

Questions connexes

 Questions connexes