Encriptado de ID de sesión para hacer frente a incidencias de vulnerabilidad

casm173
CA Service Desk Manager (SDM) utiliza el ID de sesión para autenticar las solicitudes realizadas por un usuario. Este ID de sesión se envía a través del explorador web. Un atacante puede generar automáticamente el ID de sesión y obtener acceso no autorizado a CA SDM, si coincide con cualquiera de los SID activos en SDM. También puede rastrear la dirección URL de la web de SDM mediante un ataque del tipo Man-in-the-middle y reproducir de nuevo la dirección URL para obtener acceso no autorizado a SDM. El uso de ID de sesión encriptados y cookies para autenticar las solicitudes de los usuarios puede tener algún impacto mínimo en el rendimiento de SDM.
Los siguientes atributos se agregan al Gestor de opciones para admitir los ID de sesión encriptados:
  • use_encrypted_sid_and_cookie (opcional)
    Se utilizan ID de sesión encriptados y cookies para impedir los ataques de suplantación de identidad y los ataques del tipo Man-in-the-middle. De forma predeterminada, este atributo está desactivado. Si se desea mejorar la seguridad en CA SDM, se puede activar el atributo (Sí).
  • force_browser_to_send_cookie_only_in_ssl_connection
    (opcional)
    Se fuerza al explorador a enviar la cookie del ID de sesión (SID) solamente si hay una conexión SSL. Este atributo solamente se puede aplicar si se ha activado
    use_encrypted_sid_and_cookie
    (Sí). De forma predeterminada está desactivado. Si el indicador está activo, se puede acceder a CA SDM únicamente a través de una conexión SSL.
    Para obtener más información, consulte Gestor de opciones, Opciones de seguridad.