La maggior parte delle applicazioni Web utilizza i cookie per gestire la sessione per un utente e consente di rimanere connessi anche se il browser è stato chiuso.Come si impedisce il dirottamento di sessione semplicemente copiando un cookie dalla macchina a un'altra?
Consente di far finta di aver fatto tutto nel libro per assicurarsi che il cookie stesso sia salvato.
- cifrare il contenuto
- set http solo
- set sicuro
- SSL viene utilizzato per la connessione
- controlliamo per la manomissione del contenuto del cookie
E ' è possibile impedire a qualcuno con accesso fisico alla macchina di copiare il cookie e riutilizzarlo su un'altra macchina e quindi rubare la sessione?
Nessuno dei controlli proposti impedisce in alcun modo a qualcuno di copiare fisicamente un cookie non modificato in una nuova posizione. – Deadron
È possibile associare una sessione a un indirizzo IP, ma non è davvero una buona idea da sola in quanto si rompe per gli utenti legittimi in una varietà di circostanze. (Anche se il controllo IP può certamente essere utile come parte di una strategia di valutazione del rischio più ampia.) – bobince
@bobince: l'indirizzo IP non è un'opzione in quanto si invaliderebbe il cookie ogni volta che si cambia la rete. – Sam