Rotation des identifiants de session HTTP
Utilisez cette propriété pour activer la rotation des identificateurs de session HTTP afin de réduire les glide.ui.rotate_sessions failles de sécurité.
Si l’ID de session d’un utilisateur non authentifié ne change pas après l’authentification, une application Web est vulnérable à une attaque de fixation de session. Un utilisateur malveillant pourrait démarrer une session non authentifiée et donner l’ID de session associé à la victime. Une fois que la victime s’est authentifiée, l’utilisateur malveillant partage désormais cette session authentifiée.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.rotate_sessions |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Gestion des sessions |
| Objectif | Pour obtenir une authentification de session plus sécurisée. |
| Valeur recommandée | VRAI |
| Valeur par défaut | VRAI |
| Cote de risque de sécurité | 8.8 |
| Impact fonctionnel | (Moyen) Cette correction modifie l’ID de session lorsque l’utilisateur navigue d’une page non authentifiée vers des pages authentifiées.
|
| Risque de sécurité | (Modéré) SessionID permet de traiter et d’authentifier l’utilisateur de l’instance en conservant l’état de session sur le navigateur. Ainsi, SessionID est considéré comme une donnée sensible et doit être sécurisé par défaut. La rotation de session est un contrôle de sécurité qui applique la modification de sessionID chaque fois que l’utilisateur navigue à partir de pages non authentifiées pour authentifier des pages. |
| Références |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.