Rotation des identificateurs de session HTTP (renforcement de la sécurité de l’instance)
Utilisez cette propriété pour activer la rotation des identificateurs de session HTTP afin de réduire les glide.ui.rotate_sessions failles de sécurité.
Si l’ID de session d’un utilisateur non authentifié ne change pas après l’authentification, une application Web est vulnérable à une attaque de fixation de session. Un utilisateur malveillant peut démarrer une session non authentifiée et donner l’ID de session associé à la victime. Une fois que la victime s’authentifie, l’utilisateur malveillant partage désormais cette session authentifiée.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.rotate_sessions |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Configurer dans le centre de sécurité de l’instance | Oui |
| Objectif | Pour obtenir une authentification de session plus sécurisée. |
| Valeur recommandée | VRAI |
| Impact fonctionnel | (Moyen) Cette correction a modifié l’ID de session lorsque l’utilisateur navigue d’une page non authentifiée vers des pages authentifiées.
|
| Risque de sécurité | (Tardif) SessionID est utilisé pour traiter et authentifier l’utilisateur de l’instance en maintenant l’état de la session sur le navigateur. Par conséquent, les SessionID sont considérés comme des données sensibles et doivent être sécurisés par défaut. La rotation de session est un contrôle de sécurité qui applique la modification de l’ID de session chaque fois que l’utilisateur navigue à partir de pages non authentifiées pour authentifier des pages. |
| Références |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.