6 Решения за грешката “Aw, Snap!” в Google Chrome
Разберете как да се справите с грешката “Aw, Snap!” в Chrome, с списък на ефективни методи за решаване на проблема и достъп до сайтовете, които желаете.
Какво е фиксиране на сесия?
Има много различни видове уязвимости в сигурността, открити в уебсайтовете, една интересна се нарича „Фиксиране на сесията“. Фиксирането на сесията е проблем, при който нападателят може да повлияе на идентификатора на сесията, известен още като идентификатора на сесията на потребител, и след това да го използва, за да получи достъп до техния акаунт. Има два начина, по които този тип уязвимост може да работи, тя може да позволи на нападателя да намери или зададе идентификатора на сесията на друг потребител.
Как се извършва атака за фиксиране на сесия
Идентификаторът на сесията на даден потребител често е ключова част от удостоверяването на уебсайта и в много случаи е единствената информация, която идентифицира конкретния потребител, който е влязъл. Проблемът с това е, че ако нападателят може да зададе или научи идентификатора на сесията на друг потребител, те могат да използват маркера на сесията и след това да могат да действат като потребител.
Обикновено това се прави чрез подвеждане на потребителя да щракне върху вид фишинг връзка. Самата връзка е напълно легитимна, но включва променлива, която задава определен идентификатор на сесията. Ако след това потребителят влезе с идентификатора на сесията и сървърът не му присвои нов идентификатор на сесия при влизане, нападателят може просто да зададе идентификатора на сесията му да бъде същият и да има достъп до акаунта на жертвата.
Друг начин нападателят може да открие идентификатора на сесията на жертвата е, ако се появи в URL. Например, ако нападателят може да подмами жертвата да й изпрати връзка и тя включва идентификатора на сесията на жертвата, нападателят може да използва идентификатора на сесията за достъп до акаунта на жертвата. В някои случаи това може да се случи напълно случайно. Например, ако потребителят копира URL адреса с идентификатора на сесията и го постави на приятел или във форум, всеки потребител, който следва връзката, ще бъде влязъл с акаунта на потребителя.
Поправки за фиксиране на сесия
Има няколко решения на този проблем и както винаги, най-доброто решение е да приложите възможно най-много корекции като част от стратегия за защита в дълбочина. Първото решение е да промените идентификатора на сесията на потребителя, когато той влезе. Това предотвратява възможността на нападателя да повлияе на идентификатора на сесията на влязъл потребител. Можете също да конфигурирате сървъра да приема само идентификатори на сесии, които е генерирал, и изрично да отхвърля всички предоставени от потребителя идентификатори на сесии.
Уебсайтът трябва да бъде конфигуриран така, че никога да не поставя никакви чувствителни потребителски данни като идентификатор на сесията в URL адреса и трябва да го постави в параметър на заявка GET или POST. Това предпазва потребителя от случайно компрометиране на собствения си идентификатор на сесия. Използвайки както идентификатор на сесията, така и отделен идентификационен токен, вие удвоявате количеството информация, която нападателят трябва да получи, и предотвратявате достъпа на нападателите до сесии с известни идентификатори на сесии.
Жизненоважно е всички валидни идентификатори на сесии за потребител да бъдат анулирани, когато се щракне върху бутона за излизане. Възможно е да се регенерира идентификаторът на сесията при всяка заявка, ако идентификаторите на предишни сесии са невалидни, това също не позволява на нападателите да използват известен идентификатор на сесия. Този подход също така значително намалява прозореца на заплахата, ако потребителят разкрие собствения си идентификатор на сесия.
Чрез разрешаване на множество от тези подходи, стратегия за защита в дълбочина може да елиминира този проблем като риск за сигурността.
7 Обичайни проблема със Spotify и как да ги решим
Spotify може да има различни обичайни грешки, като например музика или подкасти, които не се възпроизвеждат. Това ръководство показва как да ги поправите.
Google Play: Как да изчистите историята на изтегляне на приложения
Изчистете историята на изтеглените приложения в Google Play, за да започнете отначало. Предлагаме стъпки, подходящи за начинаещи.
Фикс - Google за Android показва, че е офлайн
Имали ли сте проблем с приложението Google, което показва, че е офлайн, въпреки че имате интернет на смартфона? Прочетете това ръководство, за да намерите доказаните решения, които работят!
Какво е Fog Computing?
Ако се чудите какво е този шумен термин fog computing в облачните технологии, то вие сте на правилното място. Четете, за да разберете повече!
Как да включите и изключите Galaxy Z Fold 5
В постоянно променящия се свят на смартфоните, Samsung Galaxy Z Fold 5 е чудо на инженерството с уникалния си сгъваем дизайн. Но както и да изглежда футуристично, той все още разчита на основни функции, които всички използваме ежедневно, като включване и изключване на устройството.
Facebook: Обяснение на обхват, импресии и взаимодействие
Ако не сте сигурни какво означават импресии, обхват и взаимодействие във Facebook, продължете да четете, за да разберете. Вижте това лесно обяснение.
Как да промените шрифта в Google Chrome
Уеб браузърът Google Chrome предоставя начин да промените шрифтовете, които използва. Научете как да зададете шрифта по ваше желание.
Бърз съвет: Как да изключите Google Assistant
Вижте какви стъпки да следвате, за да изключите Google Assistant и да си осигурите малко спокойствие. Чувствайте се по-малко наблюдавани и деактивирайте Google Assistant.
Brave за Android: Как да конфигурирате настройките на блокера на реклами
Как да конфигурирате настройките на блокера на реклами за Brave на Android, следвайки тези стъпки, които могат да се извършат за по-малко от минута. Защитете се от натрапчиви реклами, използвайки тези настройки на блокера на реклами в браузъра Brave за Android.