Criptografar IDs de sessão para solucionar problemas de vulnerabilidade

casm173
CA Service Desk Manager (SDM) usa a ID da sessão para autenticar cada solicitação do usuário. Essa ID de sessão é enviada e recebida por meio do navegador da web. Um invasor pode gerar automaticamente a ID da sessão e pode obter acesso não autorizado ao CA SDM, se ela corresponder a qualquer uma das SIDs ativas no SDM. Um invasor pode detectar o URL da web do SDM usando ataques man-in-the-middle e pode reproduzir o URL para obter acesso não autorizado ao SDM. Usar ID da sessão e cookie criptografados para autenticar as solicitações de usuário pode ter um impacto mínimo no desempenho no SDM.
Os seguintes atributos são adicionados no Gerenciador de opções para oferecer suporte a IDs de sessão criptografadas:
  • use_encrypted_sid_and_cookie (opcional)
    Use a ID da sessão e cookie criptografados para impedir o ataque de spoofing e man-in-the-middle. Por padrão, esse atributo está desativado. Se você deseja ter segurança do CA SDM aprimorada, esse atributo pode ser ativado (Sim).
  • force_browser_to_send_cookie_only_in_ssl_connection
    (opcional)
    Force o navegador a enviar o cookie da ID de sessão (SID) somente se houver uma conexão SSL. Esse atributo é aplicável apenas se você tiver ativado
    use_encrypted_sid_and_cookie
    como (Sim). Isso vem desativado por padrão. Se esse sinalizador for ativado, o CA SDM só pode ser acessado por meio de uma conexão SSL.
    Para obter mais informações, consulte Gerenciador de opções, Opções de segurança.