Je crée mon propre système d'authentification (en utilisant Java). Lorsque l'utilisateur est authentifié et que l'objet utilisateur est chargé depuis le magasin de données, il est sûr de stocker cet objet utilisateur dans la session et de supposer que l'utilisateur a un objet utilisateur en session, il s'agit d'un objet utilisateur réel et valide. Y a-t-il des problèmes de sécurité possibles que je ne vois pas ici?Sécurité de stockage de l'objet utilisateur dans la session
Répondre
En principe oui.
Vous seul avez le plein contrôle des variables de session (le client n'a ni accès en lecture ni en écriture à ces variables). Si le mécanisme d'authentification est contourné, ce n'est pas parce que l'utilisateur a défini sa propre variable de session (comme il pourrait par exemple définir le contenu des cookies). Cela étant dit, il ya bien sûr des moyens hack pages web (lire OWASP top 10, y compris CSRF, XSS et ainsi de suite).
Détournement de session? Injection SQL possible ou XSS sur votre page de connexion? Un homme au milieu de l'attaque?
Seulement quelques éléments à prendre en compte lors de la conception d'un système de connexion sécurisé.
Personnellement, j'ai tendance à le faire sur toutes mes applications Web mais je supprime ou crypte les données sensibles dans l'objet utilisateur avant de les stocker dans la session, par exemple. Mot de passe
alternative consiste à remplir et utiliser une version allégée de l'objet utilisateur qui contiendra uniquement les données que vous voulez dans la session (par exemple identifiant utilisateur, prénom. nom)
Ajouter à tous les autres postes I pense qu'il y a un problème de sécurité de plus. Vous validez l'utilisateur contre database
uniquement au moment de la connexion de l'utilisateur, puis vous définissez l'utilisateur dans session
disons quand l'utilisateur est connecté et session
est actif entre l'accès est révoqué dans ce cas l'utilisateur aura accès jusqu'à sa vie de session qui est inacceptable.
- 1. stockage de l'ID utilisateur en session
- 2. Stockage état utilisateur en session
- 3. Stockage panier dans la session
- 4. sécurité de session dans php
- 5. Sécurité de session?
- 6. Stockage des données POST dans la SESSION
- 7. dictionnaire de stockage dans la session
- 8. Invalider la session de sécurité du ressort
- 9. Sécurité de piratage de session
- 10. Stockage d'objet dans la session
- 11. Stockage de l'ID utilisateur dans les sessions
- 12. Stockage de session Asp.net
- 13. Plusieurs questions sur la sécurité PHP session, le stockage de données, et la suppression des données
- 14. Sécurité de session PHP
- 15. stockage local et stockage de session
- 16. Stockage de session de PHP
- 17. stockage d'image php - sécurité
- 18. Stockage de données dans la session lors de l'authentification d'un utilisateur
- 19. Stockage/Création de profils utilisateur
- 20. Stockage sécurisé - temporaire par session
- 21. Spring MVC session de stockage
- 22. Stockage des données de session
- 23. Sécurité de sécurité delete user - session toujours active
- 24. Asp.Net 4.0 Session de stockage dans SqlServer
- 25. Stockage des informations utilisateur en session avec aspNetMembershipProvider
- 26. Django - Stockage d'objets dans la session
- 27. Problèmes de sécurité avec Itsdangerous pour la gestion de session?
- 28. Gestion de session utilisateur dans asp.net
- 29. Auditeur de stockage de session HTML5
- 30. api reposant .. session de sécurité