問題タブ [session-replay]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
0 に答える
1221 参照

ruby-on-rails - RailsとDeviseでセッションリプレイ攻撃を防ぐ方法は?

最近セキュリティ監査を受けたRailsアプリに取り組んでいます.彼らが思いついた問題の1つは、ユーザーが別のユーザーのCookieから「session_id」を取得すると、そのユーザーとしてログインできることです. これを防ぐことは可能ですか?現在のセットアップでどうすればよいですか?

Rails 3.2.12 デバイス
(2.1.2)

私のconfig/initializers/session_store.rb

本番環境で SSL を強制的に有効にする

Rails 4 Encrypted Cookie Replay Attackを見ましたが、セッションにアクティブなレコードを使用しているため、同じことができるかどうかわかりません。

Devise security extension:session_limitableから追加しようとしましたが、まったく別のことをしているようです。

セキュリティテストの結果を引用するには

一度に 1 つのログインのみがアクティブになるようにして、セッションのリプレイを軽減します。-- 「_session_id」Cookie を変更するだけで別のユーザーとしてログインできる

0 投票する
1 に答える
2795 参照

https - HTTPS リクエストをリプレイする Fiddler

おそらくログインプロセスの処理が不十分なため、Fiddler/TamperData を使用して HTTPS 要求を再生できますか? システム (https) からログアウトすると、リプレイを使用して再度ログインできます。Simon Buchan は、HTTPS は再生できないと既に述べています。参照: https://stackoverflow.com/a/2770133/1502619

リプレイでログインする場合、それはログインがリプレイ攻撃を処理していないということですか、それとも正しくログアウトしていないということですか?

0 投票する
0 に答える
150 参照

security - HMAC タイムスタンプの微調整

RESTful Web API を保護するための HMAC アプローチに関する多くの情報を確認しました。リプレイ アタックを防ぐために、通常は制約付きの TimeStamp を使用することをお勧めします。

しかし、サーバーが特定のタイムスタンプをクライアントごとに 1 回だけ受け入れる場合、一意のタイムスタンプを要求するのがより簡単な (そして確実な) アプローチであるように私には思えます。そのため、特定のクライアントからのすべてのリクエストにはユニークなタイムスタンプ。

通常の推奨事項と比較して、この TIMEStamping アプローチの弱点はありますか?

0 投票する
1 に答える
1694 参照

firefox - Mozilla アドオンから Firefox Web ブラウザ セッションを記録する

Mozilla アドオンを開発していますが、特定の時間のブラウザー セッションをビデオとして記録し、サーバーに送信する必要があります。Web セッションの記録は、アドオンからトリガーおよび停止されます。Web セッションを記録するにはどうすればよいですか? jquery プラグインをアドオンに追加する必要があるかどうか、またはアドオン SDK が提供する他のソースはありますか?