Как предотвратить перехват сеанса в Odoo 8?

Я создаю продукт для своей компании на Odoo 8. Я хочу знать, как я могу предотвратить захват сеанса моим приложением. Я предпринял несколько шагов для этого:

  1. Изменение идентификатора сеанса после успешного входа и выхода.

  2. Использовали ssl также для шифрования данных между клиентом и сервером.

Но служба безопасности моей компании не подписывает мой продукт, так как они сказали, что мы можем скопировать файл cookie входа в систему лично и просто вставить его в другой браузер и легко получить доступ к учетной записи, но, по моему мнению, это возможно, если машина физически скомпрометирован. Я не знаю, что мне теперь делать.

Любая помощь в этом будет ценной.


python openerp session-hijacking
person Seerat Mahajan    schedule 12.01.2017    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Если вы правильно настроили SSL, злоумышленники не смогут получить файлы cookie вошедшего в систему пользователя. Единственный способ - скопировать и вставить его на компьютер вошедшего в систему пользователя. Но тогда почему бы не использовать компьютер вообще, не утруждая себя копированием и вставкой файла cookie?

Вы можете продемонстрировать их, попросив взломать вашу учетную запись, не давая им свой компьютер. Имейте в виду, что большая часть передачи данных в Odoo осуществляется через JSON-RPC. Поэтому обязательно зашифруйте и эти данные.

Этот ответ дает некоторые ценные мысли о захвате сеанса в целом https://stackoverflow.com/a/12545243/4832607

person Majikat    schedule 14.01.2017