1. casa
  2. Domanda e risposta
  3. Come si impedisce il dirottamento di sessione semplicemente copiando un cookie dalla macchina a un'altra?

Come si impedisce il dirottamento di sessione semplicemente copiando un cookie dalla macchina a un'altra?

2013-06-10 13 views
14

La maggior parte delle applicazioni Web utilizza i cookie per gestire la sessione per un utente e consente di rimanere connessi anche se il browser è stato chiuso.Come si impedisce il dirottamento di sessione semplicemente copiando un cookie dalla macchina a un'altra?

Consente di far finta di aver fatto tutto nel libro per assicurarsi che il cookie stesso sia salvato.

  • cifrare il contenuto
  • set http solo
  • set sicuro
  • SSL viene utilizzato per la connessione
  • controlliamo per la manomissione del contenuto del cookie

E ' è possibile impedire a qualcuno con accesso fisico alla macchina di copiare il cookie e riutilizzarlo su un'altra macchina e quindi rubare la sessione?

fonte

2013-06-10 Sam

+0

Nessuno dei controlli proposti impedisce in alcun modo a qualcuno di copiare fisicamente un cookie non modificato in una nuova posizione. – Deadron

+0

È possibile associare una sessione a un indirizzo IP, ma non è davvero una buona idea da sola in quanto si rompe per gli utenti legittimi in una varietà di circostanze. (Anche se il controllo IP può certamente essere utile come parte di una strategia di valutazione del rischio più ampia.) – bobince

+0

@bobince: l'indirizzo IP non è un'opzione in quanto si invaliderebbe il cookie ogni volta che si cambia la rete. – Sam

risposta

14

Non ha senso "proteggere" contro questo. Se succede questo tipo di copia, allora:

  • L'utente finale lo ha fatto apposta perché voleva cambiare computer. Questo, ovviamente, non è qualcosa a cui dovresti preoccuparti o preoccuparti.
  • Un utente malintenzionato ha già compromesso il browser dell'utente e ha ottenuto l'accesso ai cookie memorizzati all'interno. Per definizione questo cookie è un segreto che dimostra che l'identità del client HTTP. Se l'utente malintenzionato ha già accesso ad esso, può già utilizzarlo in un numero qualsiasi di modi a sua scelta che non sarà in grado di impedire o distinguere l'utente reale che accede legittimamente al server.

fonte

2013-06-10 18:10:35 Celada

+1

Perché è già finito?Per favore, elabora la tua risposta. Tutte le app di grandi dimensioni come Gmail, Facebook, Github, ecc. Utilizzano i cookie. Cosa stanno facendo per evitare i cavalli di Troia solo cercando un cookie funzionante? – Sam

+0

Ho provato a chiarire un po '. Fondamentalmente si riduce al fatto che se un segreto viene esposto a un attaccante, chi non può impedire che l'hacker conosca il segreto. Questa è una tautologia. – Celada

+1

Vedere Non so se sono d'accordo - anche se si compromette un cookie, si dovrebbe essere in grado di impedire l'utilizzo su un'altra macchina completamente diversa. Non è facile farlo, ma penso che "non mi interessa" non è un buon modo per andare. –

6

Questo rischio è inerente all'utilizzo dei cookie per autenticare le sessioni: il cookie è un token al portatore, chiunque possa presentare il cookie è autenticato.

Questo è il motivo per vedere ulteriori protezioni come ad esempio:

  • automatica logout dopo un certo periodo di tempo, o di periodo di inattività;
  • device fingerprinting;
  • Richiedere la ri-autenticazione per azioni critiche (ad esempio effettuare un bonifico o modificare la password).

fonte

2013-06-11 20:48:07 Michael

Problemi correlati

 Problemi correlati