SERVIDOR UD4

Onde gardan hoxe en día navegadores modernos como Chrome e Firefox a información das cookies?. Nun ficheiro de texto plano por cada cookie. Directamente no almacenamento local (localStorage). De xeito centralizado nunha base de datos interna baseada en SQLite no cartafol do perfil do usuario. Nunha variable de entorno do sistema operativo.

Segundo as especificacións RFC6265, ¿que cantidade mínima de cookies se espera que un navegador soporte por servidor ou dominio?. Polo menos 300 cookies. Polo menos 3000 cookies. Polo menos 4 Kbytes de información. Polo menos 50 cookies por servidor ou dominio.

¿Cal dos seguintes campos de tempo no ficheiro cookies.sqlite de Firefox almacena o tempo de caducidade en segundos dende a época Unix?. creationTime. lastAccessed. Microseconds. expiry.

¿Cal é o obxectivo da extensión Cookie Manager do navegador Firefox, ademais de ollar o contido das cookies?. Borrar o ficheiro php.ini. Forzar o uso de HTTPS. Eliminar o SID despois de 24 minutos. Permitir editar o seu contido, cambiar o seu dominio, crear copias de seguridade e restauralas, ou crear novas cookies.

¿Cal é o uso do parámetro opcional path da función setcookie en PHP?. Indica o dominio que pode acceder á cookie. Indica que se debe usar sempre HTTPS. Aplícalle restricións ás páxinas do sitio que poden acceder á cookie en función da ruta no servidor. Todas son incorrectas.

Se non se especifica o parámetro domain na función setcookie, ¿quen pode acceder á cookie?. Todos os subdominios. Soamente o dominio exacto (non os subdominios). Todos os sitios web que utilicen publicidade de terceiros. Ningunha é correcta.

¿Que parámetro da función setcookie evita que a cookie sexa accesible mediante linguaxes de scripting como JavaScript?. secure. samesite. httponly. lifetime.

Que significa que o contido das cookies está controlado polo cliente?. Que o servidor non pode envialas. Que o servidor non pode borralas. Que os datos son sempre transmitidos por HTTPS. Que a súa dispoñibilidade está controlada polo cliente, que pode deshabilitalas, eliminalas ou acceder dende outro navegador.

Para forzar o borrado dunha cookie persistente definida sen data de caducidade: Chamarse á función session_unset(). Chamarse á función session_destroy(). Reescribir a mesma cookie cun tempo de vida que sinale ao pasado. Non é necesario facer nada.

Que sucede co nome da clase cando se garda un obxecto na sesión de PHP?. Gárdase na variable $_SESSION. Non se garda, é necesario cargar a clase antes de recuperar o obxecto. Gárdase automaticamente no ficheiro de sesión. Todas son correctas.

Forma máis segura de transmitir o identificador de sesión (SID): Como parámetro na URL. En cookies e usando HTTPS. Na base de datos do cliente. Ningunha é correcta.

Se session.use_cookies = 1, ¿que outra directiva debe activarse para non aceptar SIDs pasados por URL?. session.save_handler. session.auto_start. session.use_only_cookies. session.use_trans_sid.

Valor por defecto de session.cookie_lifetime e significado: 1440 segundos; expira en 24 minutos. 600 segundos; caduca por inactividade. 0; a cookie mantense ata pechar o navegador. 1; obriga ao uso de cookies.

Cando se recomenda executar session_start()?. Despois de mostrar todo no navegador. Só se session.auto_start vale 0. Antes de mostrar calquera saída. Ningunha é correcta.

Como gardar cada visita nunha variable de sesión visitas?. Asignar mktime() directamente. Serializar o array. $_SESSION['visitas'][] = mktime(). Todas son correctas.

Función para eliminar variables da sesión sen borrar a sesión en disco: session_destroy(). session_unset() ou $_SESSION = array(). session_encode(). session_decode().

Paso previo a session_destroy() ao pechar sesión manualmente: Rexenerar ID. Eliminar cookie de sesión enviando unha co mesmo nome e data pasada. Redirixir ao login. Codificar sesión.

Ataque onde o atacante tenta descubrir o SID: Fixación da sesión. Secuestro da sesión. XSS. CSRF.

Como cambiar o ID de sesión de forma transparente aos usuarios?. session.gc_maxlifetime. session_destroy(). session_regenerate_id(). Redirixir cada 10 min.

Medida de seguridade que anula a sesión se cambia o axente de usuario: session.use_trans_sid = 1. Usar HMAC. Comprobar datos do cliente en cada petición. Todas incorrectas.

Que é a Fixación da Sesión?. Roubo do SID por interceptación. Acadar que o usuario use un SID que o atacante xa coñece. Técnica que usa Bcrypt. Asignación dun SID.

Que facer cos contrasinais antes de almacenalos?. Cifralos. Serializalos. Gardar en claro. Hash con salt.

Obxectivo de gardar instante da última acción na sesión: Asegurar cookie persistente. Calcular tempo transcorrido e pechar se corresponde. Rexenerar ID continuamente. Evitar HTTPS.

Que incluír no hash da cookie de persistencia ademais do usuario e o salt?. Contrasinal en claro. Client_secret. IP e user-agent. Todas incorrectas.

Autenticación delegada (Social Login) é: Gardar contrasinal con Bcrypt. Crear un JWT. Uso de credenciais dun IdP por parte do usuario. Crear base de datos centralizada.

Beneficio principal da autenticación delegada: Non usar HTTPS. A app nunca manexa o contrasinal. Acceso total ao usuario. Xestionar 2FA.

Obxectivo principal de OAuth 2.0: Identificar o usuario. Permitir acceso limitado sen expoñer credenciais. Eliminar cookies. Ningunha.

No Authorization Code Flow, o noso servidor Apache/PHP é: Resource Owner. Authorization Server. Resource Server. Client.

No front-channel do login con GitHub viaxa: client_secret e access token. client_id, redirect_uri e state. Contrasinal. ID Token.

Proposta do parámetro scope: Mitigar CSRF. Definir permisos que solicita a app. Indicar ruta de retorno. Todas correctas.

Medida que require xerar cadra aleatoria na sesión: scope. client_id. state. access token.

Back-channel en OAuth 2.0: Comunicación polo navegador. Comunicación directa servidor-servidor. Rexistro da app. Arquivo .env.

Tarxeta de acceso temporal para chamar á API de GitHub: Código de autorización. client_secret. state. Access Token.

Que facer despois de obter o Access Token para evitar fixación da sesión?. Destruir sesión. session_encode. session_regenerate_id(true). Todas incorrectas.

Función hash insegura: password_hash. hash_hmac. md5 ou sha1. Todas correctas.

Algoritmo recomendado para gardar contrasinais en PHP: MD5. SHA-512. Password Hashing (Bcrypt/Argon2). HMAC.

Prefixo $2y$ indica: MD5. SHA-256. Argon2. Bcrypt.

Algoritmo máis recomendado hoxe e prefixo correspondente: Blowfish ($2y$). SHA-512 ($6$). MD5 ($1$). Argon2 ($argon2i$ / $argon2id$).

Función estándar para asinar cookies ou tokens garantindo autenticidade: password_verify. md5. session_encode. hash_hmac.

Afirmación correcta sobre o client_secret: Gárdase no navegador. Só o coñecen a nosa app e GitHub. Úsase para chamar á API. Todas correctas.