어떻게 Odoo 8 세션 하이재킹을 방지하려면?

나는 회사에서 Odoo 8에 대한 제품을 구축 중입니다. 세션 하이재킹으로부터 어떻게 애플리케이션을 보호 할 수 있는지 알고 싶습니다. 나는 그걸 위해 몇 걸음 밟았습니다 :어떻게 Odoo 8 세션 하이재킹을 방지하려면?

성공적인 로그인과 로그 아웃 후 세션 ID 변경.
ssl을 사용하여 클라이언트와 서버간에 데이터를 암호화합니다. 그들은 우리가 사람과 그냥 다른 브라우저에 쉽게 계정에 액세스 할 수 있습니다 과거 기록의 쿠키를 복사 할 수 있습니다 말했다 이후

하지만 내 회사의 보안 팀은 나의 제품을 서명되지 않은,하지만 나에게 따라 기계가 물리적으로 손상된 경우 가능합니다. 나는 지금 무엇을해야하는지 모른다.

이 문제에 대한 도움이 필요합니다.

SSL을 올바르게 구성한 경우 공격자가 로그인 한 사용자의 쿠키를 얻을 수있는 방법이 없습니다. 유일한 방법은 로그인 한 사용자의 컴퓨터에 붙여 넣기를 복사하는 것입니다. 그런데 왜 쿠키를 복사하지 않고 컴퓨터를 사용하지 않으시겠습니까?

귀하의 컴퓨터를 제공하지 않고도 귀하의 계정을 해킹하도록 요청함으로써 증명할 수 있습니다. Odoo의 많은 데이터 전송은 JSON-RPC를 통해 수행됩니다. 따라서 해당 데이터도 암호화해야합니다.

이 답변은 일반적인 세션 도용에 대한 유용한 생각을 제공합니다. https://stackoverflow.com/a/12545243/4832607

2017-01-14 20:50:13 Majikat

답변