Rotation des identificateurs de session HTTP
Utilisez la propriété pour activer la glide.ui.rotate_sessions rotation des identificateurs de session HTTP afin de réduire les vulnérabilités de sécurité.
Si l’ID de session d’un utilisateur non authentifié ne change pas après l’authentification, une application Web est vulnérable à une attaque de fixation de session. Un utilisateur malveillant peut démarrer une session non authentifiée et donner l’ID de session associé à la victime. Une fois que la victime s’authentifie, l’utilisateur malveillant partage cette session authentifiée.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.rotate_sessions |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Gestion des sessions |
| Objectif | Pour obtenir une authentification de session plus sécurisée. |
| Valeur recommandée | vrai |
| Valeur par défaut | vrai |
| Cote de risque de sécurité | 8.8 |
| Impact fonctionnel | Cette correction a modifié le SessionID lorsque l’utilisateur navigue d’une page non authentifiée vers des pages authentifiées.
|
| Risque de sécurité | (Modéré) SessionID est utilisé pour traiter et authentifier l’utilisateur d’instance en conservant l’état de la session sur le navigateur. Ainsi, SessionID est considéré comme une donnée sensible et doit être sécurisé par défaut. La rotation de session est un contrôle de sécurité qui applique la modification de sessionID chaque fois que l’utilisateur navigue de pages non authentifiées vers des pages authentifiées. |
| Références |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.