Crittografia degli ID di sessione per risolvere i problemi relativi alla vulnerabilità

casm173
CA Service Desk Manager (SDM) utilizza l'ID di sessione per l'autenticazione di tutte le richieste dell'utente. Questo ID di sessione viene inviato avanti e indietro attraverso il browser Web. L'autore di un attacco può generare automaticamente l'ID di sessione e ottenere l'accesso non autorizzato a CA SDM se tale ID corrisponde a uno dei SID attivi in SDM. L'autore di un attacco può individuare l'URL Web di SDM mediante un attacco man-in-the-middle e può riprodurre l'URL per ottenere l'accesso non autorizzato a SDM. L'utilizzo dell'ID di sessione e di cookie crittografati per l'autenticazione delle richieste dell'utente può avere un impatto minimo sulle prestazioni di SDM.
Per supportare gli ID di sessione crittografati, vengono aggiunti i seguenti attributi in Gestione opzioni:
  • use_encrypted_sid_and_cookie (facoltativo)
    Utilizzare l'ID di sessione e i cookie crittografati per evitare lo spoofing e l'attacco man-in-the-middle. Per impostazione predefinita, questo attributo è disabilitato. Se si desidera migliorare la protezione di CA SDM, questo attributo può essere abilitato (Sì).
  • force_browser_to_send_cookie_only_in_ssl_connection
    (facoltativo)
    Forzare il browser a inviare il cookie dell'ID di sessione (SID) solo se esiste una connessione SSL. Questo attributo è applicabile solo se è stato abilitato
    use_encrypted_sid_and_cookie
    su Sì. Tale funzionalità è disabilitata per impostazione predefinita. Se questo flag è abilitato, CA SDM è accessibile soltanto tramite una connessione SSL.
    Per ulteriori informazioni, consultare Gestione opzioni, Opzioni di protezione.