GESTIÓN DE SESIONES WEB

SOLUCIONES

Aleatorización y longitud suficiente del identificador de sesión

Renovar el identificador o asignarlo únicamente después de la autenticación

Permitir únicamente el identificador en cookies

Asociar el identificador a información del usuario única como su IP

Establecer un timeout de sesión

Establecer un tiempo máximo de validez

Utilizar cookies no persistentes

Invalidar los identificadores de sesión

No reutilizar los identificadores de sesión

Activar la opción httponly en servidor web

Deshabilitar el método TRACE

Utilizar HTTPS

Activar las secure cookies que evita el navegador pueda enviar la cookie por HTTP

Asociar el identificador a información del usuario única como su dirección IP

CONFIGURACIÓN SEGURA

MEDIDAS CONTRA LA PREDICCIÓN DE SESIÓN

Aletorización y longitud suficiente del identificador de sesión

session.entropy_file

MEDIDAS CONTRA LA CAPTURA XSS

Las cookies sólo accesibles a través de HTTP

session.cookie_httponly

Deshabilitar el método TRACE

MEDIDAS CONTRA LA FIJACIÓN DE SESIÓN

Renovar el identificador al autenticarse el usuario o asignarlo después de la autenticación

sesion_regenerate_id

Permitir únicamente el identificador en cookies

session.use_only_cookies

Asociar el identificador a información del usuario única como su dirección IP

$_SERVER['REMOTE_ADDR']

MEDIDAS CONTRA EAVESDROPPING

Utilizar el protocolo HTTPS

Utilizar la opción secure en las cookies de sesión

session.cookie_secure

MEDIDAS CONTRA LOS ERRORES EN EL CIERRE DE SESIÓN

Establecer timeout de sesión

session.gc_maxlifetime

Establecer un tiempo máximo de validez de sesión

session.cookie_lifetime

Utilizar cookies no persistentes

ssession.cookie_domain

session.cookie_path

Invalidar y no reutilizar los identificadores de sesión

session.destroy

CONFIGURACIÓN SEGURA

MEDIDAS CONTRA LA PREDICCIÓN DE SESIÓN

Aletorización y longitud suficiente del identificador de sesión

MEDIDAS CONTRA LA CAPTURA XSS

Las cookies sólo accesibles a través de HTTP

http-only

web.xml

Deshabilitar el método TRACE

Contenedor Servlets

MEDIDAS CONTRA LA FIJACIÓN DE SESIÓN

Renovar el identificador al autenticarse el usuario o asignarlo después de la autenticación

Permitir únicamente el identificador en cookies

tracking-mode

web.xml

Asociar el identificador a información del usuario única como su dirección IP

RemoteAddr

MEDIDAS CONTRA EAVESDROPPING

Utilizar el protocolo HTTPS

security-constraint

web.xml

Utilizar la opción secure en las cookies de sesión

cookie-config

web.xml

MEDIDAS CONTRA LOS ERRORES EN EL CIERRE DE SESIÓN

Establecer timeout de sesión

session-timeout

web.xml

Establecer un tiempo máximo de validez de sesión

getCreationTime

Utilizar cookies no persistentes

JSESSIONID

Invalidar y no reutilizar los identificadores de sesión

CONFIGURACIÓN SEGURA

CONFIGURACIÓN SEGURA

MEDIDAS CONTRA LA PREDICCIÓN DE SESIÓN

Aletorización y longitud suficiente del identificador de sesión

SessionIDManager

MEDIDAS CONTRA LA CAPTURA XSS

Las cookies sólo accesibles a través de HTTP

httpOnlyCookies

web.config

Deshabilitar el método TRACE

MEDIDAS CONTRA LA FIJACIÓN DE SESIÓN

Renovar el identificador al autenticarse el usuario o asignarlo después de la autenticación

Permitir únicamente el identificador en cookies

sessionState

Asociar el identificador a información del usuario única como su dirección IP

Request.UserHostAddress

MEDIDAS CONTRA EAVESDROPPING

Utilizar el protocolo HTTPS

Utilizar la opción secure en las cookies de sesión

requireSSL

MEDIDAS CONTRA LOS ERRORES EN EL CIERRE DE SESIÓN

Establecer timeout de sesión

sessionState

Establecer un tiempo máximo de validez de sesión

DateTime

Utilizar cookies no persistentes

ASP.NET_SessionId

Invalidar y no reutilizar los identificadores de sesión

Session.Abandon