HTTP-Sitzungs-Bezeichner rotieren
Verwenden Sie die Eigenschaft glide.ui.rotate_sessions, um die Rotation der HTTP-Sitzungsbezeichner zu aktivieren und so Sicherheitsschwachstellen zu reduzieren.
Wenn sich die Sitzungs-ID eines nicht authentifizierten Benutzers nach der Authentifizierung nicht ändert, ist eine Webanwendung angreifbar für einen Angriff zur Sitzungskorrektur. Ein böswilliger Benutzer könnte eine nicht authentifizierte Sitzung starten und dem Opfer die zugehörige Sitzungs-ID geben. Sobald sich das Opfer authentifiziert hat, gibt der böswillige Anwender diese authentifizierte Sitzung jetzt frei.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.rotate_sessions |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Management von Anwendersitzungen |
| Zweck | Um eine sicherere Sitzungsauthentifizierung zu erreichen. |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Durch diese Korrektur wurde die SessionID geändert, wenn der Anwender von einer nicht authentifizierten Seite zu authentifizierten Seiten navigiert.
|
| Sicherheitsrisiko | Die (mäßige) SessionID wird zum Verarbeiten und Authentifizieren des Instanzanwenders verwendet, indem der Sitzungsstatus im Browser verwaltet wird. Daher gilt die SessionID als vertrauliche Daten und sollte standardmäßig sicher sein. Die Sitzungsrotation ist eine Sicherheitskontrolle, die die Änderung der Sitzungs-ID erzwingt, wenn der Anwender von nicht authentifizierten Seiten zu authentifizierten Seiten navigiert. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.