問題タブ [session-replay]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - RailsとDeviseでセッションリプレイ攻撃を防ぐ方法は?
最近セキュリティ監査を受けたRailsアプリに取り組んでいます.彼らが思いついた問題の1つは、ユーザーが別のユーザーのCookieから「session_id」を取得すると、そのユーザーとしてログインできることです. これを防ぐことは可能ですか?現在のセットアップでどうすればよいですか?
Rails 3.2.12 デバイス
(2.1.2)
私のconfig/initializers/session_store.rb
は
本番環境で SSL を強制的に有効にする
Rails 4 Encrypted Cookie Replay Attackを見ましたが、セッションにアクティブなレコードを使用しているため、同じことができるかどうかわかりません。
Devise security extension:session_limitable
から追加しようとしましたが、まったく別のことをしているようです。
セキュリティテストの結果を引用するには
一度に 1 つのログインのみがアクティブになるようにして、セッションのリプレイを軽減します。-- 「_session_id」Cookie を変更するだけで別のユーザーとしてログインできる
https - HTTPS リクエストをリプレイする Fiddler
おそらくログインプロセスの処理が不十分なため、Fiddler/TamperData を使用して HTTPS 要求を再生できますか? システム (https) からログアウトすると、リプレイを使用して再度ログインできます。Simon Buchan は、HTTPS は再生できないと既に述べています。参照: https://stackoverflow.com/a/2770133/1502619
リプレイでログインする場合、それはログインがリプレイ攻撃を処理していないということですか、それとも正しくログアウトしていないということですか?
security - HMAC タイムスタンプの微調整
RESTful Web API を保護するための HMAC アプローチに関する多くの情報を確認しました。リプレイ アタックを防ぐために、通常は制約付きの TimeStamp を使用することをお勧めします。
しかし、サーバーが特定のタイムスタンプをクライアントごとに 1 回だけ受け入れる場合、一意のタイムスタンプを要求するのがより簡単な (そして確実な) アプローチであるように私には思えます。そのため、特定のクライアントからのすべてのリクエストにはユニークなタイムスタンプ。
通常の推奨事項と比較して、この TIMEStamping アプローチの弱点はありますか?
firefox - Mozilla アドオンから Firefox Web ブラウザ セッションを記録する
Mozilla アドオンを開発していますが、特定の時間のブラウザー セッションをビデオとして記録し、サーバーに送信する必要があります。Web セッションの記録は、アドオンからトリガーおよび停止されます。Web セッションを記録するにはどうすればよいですか? jquery プラグインをアドオンに追加する必要があるかどうか、またはアドオン SDK が提供する他のソースはありますか?