Rotação de identificadores de sessão HTTP
Use a propriedade glide.ui.rotate_sessions para habilitar a rotação dos identificadores de sessão HTTP para reduzir vulnerabilidades de segurança.
Se o ID de sessão de um usuário não autenticado não mudar após a autenticação, uma aplicação da Web estará vulnerável a um ataque de fixação de sessão. Um usuário mal-intencionado pode iniciar uma sessão não autenticada e fornecer o ID de sessão associado à vítima. Depois que a vítima é autenticada, o usuário mal-intencionado agora compartilha essa sessão autenticada.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.rotate_sessions |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Gestão de sessões |
| Finalidade | Obter uma autenticação de sessão mais segura. |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | 8,8 |
| Impacto funcional | Esta correção modificou o SessionID quando o usuário navega da página não autenticada para páginas autenticadas.
|
| Risco à segurança | (Moderado) SessionID é usado para processar e autenticar o usuário da instância, mantendo o estado da sessão no navegador. Portanto, SessionID é considerado como dados confidenciais e deve ser seguro por padrão. A Rotação de sessão é um controle de segurança que impõe a alteração de sessionID sempre que o usuário navega de páginas não autenticadas para autenticar páginas. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.