Rotation des identificateurs de session HTTP
Utilisez cette glide.ui.rotate_sessions propriété pour activer la rotation des identificateurs de session HTTP afin de réduire les vulnérabilités de sécurité.
Si l’ID de session d’un utilisateur non authentifié ne change pas après l’authentification, une application Web est vulnérable à une attaque de fixation de session. Un utilisateur malveillant pourrait démarrer une session non authentifiée et donner l’ID de session associé à la victime. Une fois que la victime s’authentifie, l’utilisateur malveillant partage maintenant cette session authentifiée.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.rotate_sessions |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Gestion des sessions |
| Objectif | Pour obtenir une authentification de session plus sécurisée. |
| Valeur recommandée | VRAI |
| Valeur par défaut | VRAI |
| Cote de risque de sécurité | 8.8 |
| Impact fonctionnel | Cette correction a modifié le SessionID lorsque l’utilisateur navigue d’une page non authentifiée vers des pages authentifiées.
|
| Risque de sécurité | (Modéré) SessionID est utilisé pour traiter et authentifier l’utilisateur d’instance en maintenant l’état de la session sur le navigateur. Ainsi, SessionID est considéré comme une donnée sensible et doit être sécurisé par défaut. La rotation de session est un contrôle de sécurité qui applique la modification de l’ID de session chaque fois que l’utilisateur navigue à partir de pages non authentifiées vers des pages authentifiées. |
| Références |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.