[Перевод] Немного о защите идентификаторов веб-сессий

Предлагаем вашему вниманию перевод статьи из блога Eran Hammer — создателя фреймворка hapi.js. На этот раз речь пойдет об обеспечении безопасности идентификаторов сессий.



На Github прозвучал вопрос о том, зачем в Node.js-фреймворке Express к идентификационной cookie сессии добавляется хэш-суффикс? Отличный вопрос.

Но сначала небольшой дисклеймер: как и любой другой совет по безопасности от человека, не знакомого со спецификой конкретной системы, рассматривать все, что будет написано ниже, следует лишь с образовательной точки зрения. Безопасность — это сложная и крайне специфичная область знаний, поэтому, если обеспечение должного уровня защиты критически важно для конкретной компании, ей следует нанять выделенного ИБ-специалиста или обратиться к услугам профессионалов по защите информации. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• КУСь нашего контрагента
• Какие форматы контента в топе у застройщиков во всех соцсетях
• B2B без писем и звонков: как автоматизация упрощает бизнес-процессы
• Каждую четвёртую онлайн-покупку в России привлекают кэшбэк и программы лояльности
• Как я строил антифрод-систему для ставок: неожиданные сложности и решения
• И швец, и жнец, и на дуде игрец: чем должно заниматься digital-агентство
• Книга: «Изучаем Kali Linux»
• CyBOK. Глава 3. Законы и регуляторные нормы. Часть 1
• FileVault: как Apple превратила шифрование диска из кошмара в незаметную магию
• F6 вскрыла Pay2Key: новая программа-вымогатель атакует российские компании