Odoo 8 で自社向けの製品を構築しています。アプリケーションがセッション ハイジャックされるのを防ぐ方法を知りたいです。そのためにいくつかの手順を実行しました:
ログインとログアウトに成功した後のセッション ID の変更。
クライアントとサーバー間のデータの暗号化にもsslを使用しました。
しかし、私の会社のセキュリティ チームは、ログインした個人の Cookie をコピーして他のブラウザに貼り付けるだけで簡単にアカウントにアクセスできると言っていたので、私の製品を承認していません。物理的に危うい。私は今何をすべきかわかりません。
これに関するヘルプはかなりのものです。