Secure-und HttpOnly-für SMSESSION-cookie bricht der login-Funktionalität
Wegen der Sicherheitslücken, die im Security-Scans(SCABBA) getan, für unsere Anwendungen, die wir Hinzugefügt, secure und HttpOnly-zu SMESSION cookie. Nun stehen wir vor dem Problem, wie wenn ich die Umleitung von einer Anwendung zur anderen(alle sind unter single-sign-on) einige Zeit in Session zu bekommen, ungültig withing 5-10 min. wir sind die Umleitung auf die Login-Seite.
Ich hoffe SMSESSION-fix, das wir haben ist, verursacht diese Probleme, aber noch sicher auf. Einige, Woher ich die unten info
smsession cookie erzeugten siteminder ist immer verschlüsselt und ist auch sehr sichere Art und Weise.
Wir haben sicher & nur-http-flags in der siteminder-cookies implementiert, aber es kann einige Funktionen Probleme nach der Implementierung dieser Fahnen an den cookies ebenfalls.
(a) Nahtlose brechen am übergang von HTTP zu HTTPs oder Umgekehrt (wir haben alle nur https)
(b) kann Es einige Sitzung, die Aufrechterhaltung Probleme
(c) Logout-Funktionalität brechen kann. Dies waren einige der Bruch, die wir erlebt in den letzten Fällen.
Kann jemand ne Idee?
Vielen Dank im Voraus
-Grüße,
Raviteja Koditiwada
InformationsquelleAutor user2928351 | 2013-10-28
Du musst angemeldet sein, um einen Kommentar abzugeben.
HTTPS ist alles oder nichts. Wenn eine Anwendung verrät seine session-id über HTTP dann, dass der account kompromittiert werden kann, und dies ist der Grund, warum Facebook ist jetzt komplett HTTPS. Undichte session-id über einen unsicheren Kanal ist ein Verstoß gegen OWASP-Insufficient Transport Layer Security und einer der OWASP Top 10 häufigsten Schwachstellen von web-Anwendungen.
Einer web-Anwendung können die
secure
cookie-flag, um zu verhindern, dass plain-text HTTP-Anfragen enthalten die session-id. Daher ist jeder authentifizierte Anfrage gesendet werden, indem der browser muss über HTTPS, und dies ist für die Sicherheit erforderlichen.Den
secure
undhttponly
cookie-flags sind wichtig. Sagen Sie Ihrem Lieferanten, um dies zu beheben OWASP top 10 Schwachstellen und suchen andere OWASP-top-10-Verletzungen in Ihrer software. Mit HTTP Strict Transport Security ist auch eine sehr gute Idee.InformationsquelleAutor rook