HTTP-Sitzungsbezeichner rotieren (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.ui.rotate_sessions, um die Rotation der HTTP-Sitzungsbezeichner zu aktivieren, um Sicherheitsschwachstellen zu reduzieren.
Wenn sich die Sitzungs-ID eines nicht authentifizierten Benutzers nach der Authentifizierung nicht ändert, ist eine Webanwendung angreifbar für einen Sitzungsfixierungsangriff. Ein böswilliger Benutzer könnte eine nicht authentifizierte Sitzung starten und die zugehörige Sitzungs-ID an das Opfer weitergeben. Sobald sich das Opfer authentifiziert hat, gibt der böswillige Benutzer diese authentifizierte Sitzung frei.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.ui.rotate_sessions |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Um eine sicherere Sitzungsauthentifizierung zu erreichen. |
| Empfohlener Wert | Wahr |
| Funktionale Auswirkung | (Mittel) Durch diese Korrektur wurde die SessionID geändert, wenn der Benutzer von einer nicht authentifizierten Seite zu authentifizierten Seiten navigiert.
|
| Sicherheitsrisiko | (Spät) SessionID wird verwendet, um den Instanzbenutzer zu verarbeiten und zu authentifizieren, indem der Sitzungsstatus im Browser beibehalten wird. Daher gilt SessionID als vertrauliche Daten und sollte standardmäßig sicher sein. Die Sitzungsrotation ist eine Sicherheitskontrolle, die die Änderung der Sitzungs-ID erzwingt, wenn der Benutzer von nicht authentifizierten Seiten zu authentifizierten Seiten navigiert. |
| Referenzen |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.