Безопасный и HttpOnly для SMSESSION cookie нарушает функциональность входа

Question

Безопасный и HttpOnly для SMSESSION cookie нарушает функциональность входа

Из-за уязвимостей в сканировании безопасности (SCABBA), сделанных для наших приложений, мы добавили безопасный и HttpOnly в SMESSION cookie. Теперь мы сталкиваемся с проблемой, например, когда я перенаправляю из одного приложения в другое (все находятся под единым входом), когда сессия становится недействительной в течение 5-10 минут. мы перенаправляем на страницу входа.

Я надеюсь, что исправление SMSESSION, которое мы сделали, вызывает эти проблемы, но не обязательно в этом. Где-то, где я получил ниже информацию

Файл cookie smsession, генерируемый siteminder, всегда имеет зашифрованный формат и отличается высокой степенью безопасности. У нас могут быть реализованы безопасные флаги только для http для cookie-файлов Siteminder, но могут быть некоторые функциональные проблемы после применения этих флагов к cookie-файлам. (a) Безболезненно сломается при переходе с HTTP на HTTP или наоборот (у нас все только https) (b) Может быть несколько проблем с поддержанием сеанса (c) Функциональность выхода из системы может нарушиться. Это были немногие из поломок, которые мы пережили в последних нескольких случаях.

Кто-нибудь может иметь представление об этом?

заранее спасибо

-Регардс, Равитея Кодитивада

1

security login siteminder cookie-httponly

Источник

user2928351 28 окт '13 в 14:11

1 ответ

Другие вопросы по тегам security login siteminder cookie-httponly

user183528 28 окт '13 в 22:34 2013-10-28 22:34 · Answer 1 · 2013-10-28 22:34

HTTPS - это все или ничего. Если приложение разглашает свой идентификатор сеанса по HTTP, тогда эта учетная запись может быть взломана, и именно поэтому Facebook теперь полностью HTTPS. Утечка идентификатора сеанса через незащищенный канал является нарушением OWASP недостаточно безопасности транспортного уровня и одной из 10 самых распространенных уязвимостей веб-приложений OWASP.

Веб-приложение может использовать secure флаг cookie, чтобы запретить HTTP-запросам в виде простого текста содержать идентификатор сеанса. Поэтому любой аутентифицированный запрос, отправленный браузером, должен быть выполнен по протоколу HTTPS, и это необходимо для безопасности.

secure а также httponly флаги cookie важны. Скажите вашему поставщику, чтобы он исправил эту 10 уязвимостей OWASP и нашел другие 10 нарушений OWASP в их программном обеспечении. Использование http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security также очень хорошая идея.