hig.sePublications
EnglishSvenskaNorsk
Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard-cite-them-right
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • sv-SE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • de-DE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Sessionskapning i webbaserade inloggningssystem: en utredning av angrepp, försvar och kakor
University of Gävle, Faculty of Engineering and Sustainable Development, Department of Industrial Development, IT and Land Management.
2011 (Swedish)Independent thesis Basic level (degree of Bachelor), 10 credits / 15 HE creditsStudent thesis
Abstract [sv]

Användare av webbaserade inloggningssystem hotas av sessionskapningsangrepp, där angripare kan ta över andras konton, oavsett hur stark autentiseringsmekanismen är. HTTP-protokollets tillståndslösa natur tvingar klienter att skicka ett sessions-ID, oftast genom kakor, för att låta servern autentisera varje meddelande efter inloggningen; en angripare behöver endast få tag på detta ID för att fullfölja angreppet. Detta arbete har, utifrån en omfattande litteraturstudie och med ASP.NET Forms Authentication som exempel, visat hur diverse svagheter kan låta angripare få tag på sessions-ID:t på olika sätt – även om HTTPS används för att kryptera kommunikationen. Arbetet har dessutom sammanställt en uppsättning riktlinjer som webbutvecklare kan använda för att försvara sina webbsajter mot dessa angrepp, bland annat genom att sätta HttpOnly-flaggan för sina kakor för att försvåra avläsning på klientdatorn, samt att eventuellt förknippa inloggningssessionen med användarens IP-adress. Någon enkel heltäckande lösning tycks däremot inte finnas, och en avvägning mellan säkerhet och tillgänglighet är ofta nödvändig.
Place, publisher, year, edition, pages
2011. , p. 34
National Category
Computer Sciences
Identifiers
URN: urn:nbn:se:hig:diva-9493OAI: oai:DiVA.org:hig-9493DiVA, id: diva2:423658
Subject / course
Computer science
Uppsok
Technology
Supervisors
Examiners
Available from: 2011-06-16 Created: 2011-06-16 Last updated: 2018-01-12Bibliographically approved

Open Access in DiVA

fulltext(759 kB)576 downloads
File information
File name FULLTEXT01.pdfFile size 759 kBChecksum SHA-512
e1bc2961597bdb8983bca246e891c3f0e97b6a1dfc4e215008ddf74a1955192c9515bac49bbb16a63222778d8bf4c25677123d4c69942c0af28ad1f48e2c277d
Type fulltextMimetype application/pdf

By organisation
Department of Industrial Development, IT and Land Management
Computer Sciences

Search outside of DiVA

GoogleGoogle Scholar
Total: 577 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 344 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard-cite-them-right
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • sv-SE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • de-DE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
v. 2.46.0
|
WCAG
|
University Library in Gävle
|
Research at the University
|
Publish in DiVA