HTTP-Sitzungsbezeichner rotieren
Verwenden Sie glide.ui.rotate_sessionsEigenschaft zum Aktivieren der Rotation der HTTP-Sitzungsbezeichner, um Sicherheitsschwachstellen zu reduzieren.
Wenn sich die Sitzungs-ID eines nicht authentifizierten Anwenders nach der Authentifizierung nicht ändert, ist eine Webanwendung für angreifbar Angriff auf Sitzungsfixierung . Ein böswilliger Anwender kann eine nicht authentifizierte Sitzung starten und dem Opfer die zugehörige Sitzungs-ID geben. Sobald sich das Opfer authentifiziert hat, gibt der böswillige Anwender diese authentifizierte Sitzung jetzt frei.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.rotate_sessions |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Management von Anwendersitzungen |
| Zweck | Um eine sicherere Sitzungsauthentifizierung zu erreichen. |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 8.8 |
| Funktionale Auswirkung | Diese Korrektur hat die SessionID geändert, wenn der Anwender von der nicht authentifizierten Seite zu authentifizierten Seiten navigiert.
|
| Sicherheitsrisiko | (Mittel) SessionID wird verwendet, um den Instanzanwender zu verarbeiten und zu authentifizieren, indem der Sitzungsstatus im Browser beibehalten wird. Daher gilt SessionID als vertrauliche Daten und sollte standardmäßig sicher sein. Sitzungsrotation ist eine Sicherheitssteuerung, die die Änderung der Sitzungs-ID erzwingt, wenn der Anwender von nicht authentifizierten Seiten aus navigiert, um Seiten zu authentifizieren. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.