The UNIX and Linux Forums  
Bonjour et bienvenu par les États-Unis à la UNIX et Linux Forums! Merci de votre visite et vous joindre à notre communauté mondiale.

Go Back   Les systèmes UNIX et Linux Forums > Forums spécial > UNIX et Linux Applications > Complex Event Processing RSS News
Proxy Caches are a Challenging Threat to Internet Security Proxy Caches sont un défi à l'Internet Security Threat
.
google unix.com

Forums S'inscrire Forum RulesLiensAlbums FAQ Liste des membres Calendrier Recherche Aujourd'hui, les postes Marquer les forums comme lus


Complex Event Processing RSS News Agrégé de nouvelles RSS sur CEP, l'ESP et le Parlement européen.

Plus d'UNIX et Linux Forum Sujets Vous trouverez peut-être utile
Fil Thread Starter Forum Réponses Last Post
OWASP AppSec Asia 2008: Proxy Caches et Web Application Security iBot Complex Event Processing RSS News 0 10-03-2008 08:10 AM
Proxy Caches sont un défi à l'Internet Security Threat iBot IT Security RSS 0 09-26-2008 01:30 AM
Microsoft Security Advisory (956187): Augmentation de la menace pour le DNS Spoofing Vulnerability iBot Avis de sécurité (RSS) - Microsoft 0 07-25-2008 02:20 PM
Microsoft Security Advisory (953818): Blended Threat Attack Utilisation combinée de Apple iBot Avis de sécurité (RSS) - Microsoft 0 06-06-2008 09:40 PM
Le Top Ten des menaces de sécurité 2008 (Partie 4) - Le numéro un de la menace iBot Complex Event Processing RSS News 0 11-19-2007 02:50 PM

 
English Japanese Spanish French German Portuguese Italian Dutch Swedish Russian Norwegian Hungarian Hebrew Danish Bulgarian Greek Powered by Powered by Google
 
LinkBack Thread Tools Recherche sur ce Thread Rate Thread Modes d'affichage
Préc Previous Post   Next Post Suivant
  #1 (permalink)  
Old 10-05-2008
iBot's Avatar
iBot iBot is offline
Forum Robot Girl
  
 

Join Date: Sep 2000
Messages: 22197
Proxy Caches sont un défi à l'Internet Security Threat
Tim Bass
10-05-2008 03:41 AM
Proxy cache mal écrit combiné avec le code de gestion de session, peut facilement, à de graves failles de sécurité similaire à ce que nous avons mis en évidence dans Une nouvelle brèche de sécurité dans Google Docs Revealed.

Les développeurs Web qui n'ont pas de contrôle sur les proxy caches dans l'Internet. Cependant, les développeurs ont le contrôle du code qu'ils écrivent et leurs équipes d'administration ont le contrôle de la configuration de leurs serveurs Web. Les développeurs doivent assumer le pire des cas, Internet scénario agressif avec les politiques de gestion de cache Internet qui servent pour la mise en cache des données économiques et des raisons de performances.

En conséquence, le fait de la vie sur l'Internet, parfois des résultats dans de multiples clients web d'être envoyées le même Set-Cookie-têtes HTTP, par exemple la mise en cache des serveurs proxy .* devraient obtenir un nouveau cookie pour chaque nouveau client demande. Idéalement, les caches ne devrait pas proxy cache de gestion de session des cookies et cache des cookies pour distribuer des clients multiples. Cependant, les développeurs d'applications ne peut pas supposer que proxy caches sont bien comportés, en particulier pour les applications où la sécurité et de la vie privée sont requis.

Les développeurs Web peuvent ne pas savoir si leur contenu est consommée directement ou par l'intermédiaire d'un proxy cache. Les développeurs ne peuvent pas non plus présumer que les réponses HTTP seront livrés à l'intention navigateur. En outre, les développeurs ne peuvent pas être sûr que le navigateur reçoit même le contenu .* Par exemple, un ID de session est délivré à un client est utilisé alors qu'il est valide ou jusqu'à ce qu'il soit abandonné et a expiré. Si elle est servie et livrée en réponse à une requête HTTP GET clair, il n'y a aucune garantie, il sera consommé par le navigateur Web.

Idéalement, SSL doit être utilisé sur toutes les transactions effectuées sur le Web qui exigent la confidentialité et la protection de la vie privée, y compris nos dernières Google Docs violation.* D'autre part, même SSL n'est pas infaillible. Par exemple, de nombreux développeurs web ne sont pas correctement les "Encrypted Sessions seulement« témoin de propriété. Ces mal configuré "sécuriser" les serveurs HTTPS envoyer des cookies à l'air libre, en clair.

Il sera dragons ...


Note: reposted de la (ISC) 2 blog. </ p>

Source ...
 

Bookmarks

« Le réseau de traitement de l'événement et Transaction Processing | Benchmarking. NET basé sur Tranaction Engines (et de la LSE) »
Thread Tools Recherche sur ce Thread
Recherche sur ce Thread:

Recherche avancée
Modes d'affichage Rate this thread
Threaded Mode Fil de Mode
Rate this thread:

Règles de messages
Tu mai pas de nouvelles discussions: nonoui
Tu mai pas envoyer des réponses:
Tu mai pas envoyer des pièces jointes
Tu mai pas modifier vos messages
BB code est Sur
Smilies sont Sur
[IMG] code est Sur
Le code HTML est Hors tension
Trackbacks sont Sur
Pingbacks sont Sur
Refbacks sont Sur



Toutes les heures sont au format GMT -4. Le temps est maintenant 10:13 PM.

The UNIX and Linux Forums - Learn UNIX and UNIX Commands RSS Feeds -- Contactez-nous -- Les Forums UNIX et Linux - Apprendre les commandes UNIX et UNIX -- Archives -- Haut

Powered by: vBulletin, Copyright © 2000 - 2006, Jelsoft Enterprises Limited. Traductions Langue Powered by .
vBCredits v1.4 Copyright © 2007 - 2008, PixelFX Studios
Les systèmes UNIX et Linux Forums Content Copyright © 1993-2009. Tous droits Reserved.Ad de gestion par RedTyger

Content Relevant URLs par vBSEO 3.2.0