Rotação de identificadores de sessão HTTP (proteção de segurança da instância)
Use a propriedade glide.ui.rotate_sessions para habilitar a rotação dos identificadores de sessão HTTP para reduzir vulnerabilidades de segurança.
Se o ID de sessão de um usuário não autenticado não mudar após a autenticação, uma aplicação da Web estará vulnerável a um ataque de fixação de sessão. Um usuário mal-intencionado pode iniciar uma sessão não autenticada e fornecer o ID de sessão associado à vítima. Depois que a vítima é autenticada, o usuário mal-intencionado agora compartilha essa sessão autenticada.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.ui.rotate_sessions |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Configurar na Central de segurança da instância | Sim |
| Finalidade | Obter uma autenticação de sessão mais segura. |
| Valor recomendado | verdadeiro |
| Impacto funcional | (Médio) Esta correção modifica o SessionID quando o usuário navega de uma página não autenticada para páginas autenticadas.
|
| Risco à segurança | (Tardio) SessionID é usado para processar e autenticar o usuário da instância, mantendo o estado da sessão no navegador. Portanto, SessionID é considerado como dados confidenciais e deve ser seguro por padrão. A Rotação de sessão é um controle de segurança que impõe a alteração de sessionID sempre que o usuário navega de páginas não autenticadas para autenticar páginas. |
| Referências |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.