1

アプリケーションに対して実行されたセキュリティ スキャン (SCABBA) の脆弱性のため、SMESSION cookie に secure および HttpOnly を追加しました。現在、あるアプリケーションから別のアプリケーションにリダイレクトしている場合(すべてがシングルサインオンになっている場合)、セッションが5〜10分で無効になるなどの問題に直面しています。ログインページにリダイレクトしています。

私たちが行ったSMSESSIONの修正がこれらの問題を引き起こしていることを願っていますが、それについては確信が持てません。以下の情報を入手した場所

siteminder が生成する smsession cookie は常に暗号化された形式であり、安全性も高い方法です。siteminder cookie に安全な http のみのフラグを実装することはできますが、これらのフラグを cookie に同様に実装した後、いくつかの機能上の問題が発生する可能性があります。(a) シームレスは、HTTP から HTTPS へ、またはその逆に移行すると壊れます。(すべて https のみです) (b) セッション維持の問題がほとんどない可能性があります (c) ログアウト機能が壊れる可能性があります。これらは、過去数回のケースで経験した破損のほんの一部です。

誰でもそれについて考えられますか?

前もって感謝します

-よろしく、Raviteja Koditiwada

4

1 に答える 1

1

HTTPS はオール オア ナッシングです。アプリケーションが HTTP 経由でセッション ID を漏らすと、そのアカウントが危険にさらされる可能性があります。これが、Facebook が完全に HTTPS になった理由です。安全でないチャネルを介してセッション ID を漏洩することは、OWASP の不十分なトランスポート層セキュリティの違反であり、OWASP の最も一般的な Web アプリケーションの脆弱性トップ 10 の 1 つです。

Web アプリケーションは、secureCookie フラグを使用して、プレーンテキストの HTTP 要求にセッション ID が含まれないようにすることができます。したがって、ブラウザによって送信される認証済みのリクエストはすべて HTTPS 経由である必要があり、これはセキュリティのために必要です

およびCookie フラグはsecure重要です。ベンダーに、この OWASP トップ 10 脆弱性を修正するように伝え、ベンダーのソフトウェアで他の OWASP トップ 10 違反を探すように依頼してください。HTTP Strict Transport Securityを使用することも非常に良い考えです。httponly

于 2013-10-28T22:34:20.893 に答える