由于安全扫描(SCABBA)为我们的应用程序所做的漏洞,我们将安全和HttpOnly添加到SMESSION cookie。现在我们面临的问题就像我从一个应用程序重定向到另一个应用程序(所有都在单点登录下)一段时间会话在5-10分钟内失效。我们正在重定向到登录页面。
我希望我们所做的SMSESSION修复是导致这些问题,但也不确定。一些我得到以下信息
siteminder生成的smsession cookie始终是加密格式,也是高度安全的方式。 我们可以拥有安全和安全实现了siteminder cookie的纯http标志,但同样地将这些标志实现到cookie后可能会出现一些功能问题。 (a)无缝将从HTTP移动到HTTPs,反之亦然 (我们只有https) (b)可能很少有会议支持问题 (c)注销功能可能会中断。这些是我们在最近几例中遇到的破损很少。
有人可以对此有所了解吗?
提前致谢
-Regards, Raviteja Koditiwada
答案 0 :(得分:1)
HTTPS全有或全无。如果应用程序通过HTTP泄露其会话ID,则该帐户可能会受到损害,这就是Facebook is now entirely HTTPS的原因。在不安全的渠道上泄露会话ID违反了OWASP Insufficient Transport Layer Security和OWASP十大最常见的Web应用程序漏洞之一。
Web应用程序可以使用secure cookie标志来阻止纯文本HTTP请求包含会话ID。因此,浏览器发送的任何经过身份验证的请求都必须通过HTTPS ,这是安全性所必需的。
secure和httponly Cookie标记重要。告诉您的供应商修复此OWASP十大漏洞,并在其软件中查找其他OWASP十大违规行为。使用HTTP Strict Transport Security也是一个非常好的主意。