Kradzież plików cookie "zapamiętaj mnie" jako ważnego zagrożenia?

Question

Używam protokołu SSL do przesyłania wszystkich danych. HTTP jest całkowicie wyłączony. Oprócz złośliwego oprogramowania lub dostępu do czyjegoś fizycznego komputera (z których oba są bardzo trudne do uniknięcia po stronie serwera), nie widzę, w jaki sposób osoba atakująca mogłaby ukraść plik cookie logowania.

Czy można w takim razie nie martwić się o kradzież pliku cookie służącego do logowania?

Złożoność w zakresie prawidłowego wdrożenia nieulegającego kradzieży pliku cookie służącego do logowania, który nadal pozwala użytkownikom na sesje w różnych przeglądarkach i na różnych komputerach, jest wyższy niż materiał, który jest bezpieczny.

Dlatego uważam, że nie można bezpiecznie strzec się przed kopiowaniem i wklejać plików cookie z urządzenia na maszynę.

Czy to jest ważny interes, czy też nie pamiętam tutaj czegoś krytycznego.

Answer 1

Musisz upewnić się, że w Twoim pliku cookie jest ustawiona flaga Secure, ponieważ nie można ogólnie uniemożliwić użytkownikom próby uzyskania dostępu do witryny za pośrednictwem protokołu SSL. W przeciwnym razie uważam, że powinieneś być w porządku.

To powiedziawszy, sugerowałbym podjęcie rozsądnych środków ostrożności. Na przykład:

• Nigdy nie umieszczaj żadnych danych w plikach cookie ani na drucie, które mogą być użyte do uzyskania hasła użytkownika.
• Jeśli to możliwe, ustaw flagę HttpOnly na poufne pliki cookie, aby każdy potencjalnie niezaufany skrypt JavaScript nie mógł ich ukraść.

Answer 2

Tak, it's a valid threat.

Ciasteczko "zapamiętaj mnie" uniezależnia bezpieczeństwo Twojej usługi od kontroli. Ogólnie rzecz biorąc, każdy (szczególnie zaawansowany atakujący), który może przejąć kontrolę nad tym plikiem cookie, może zalogować się jako ten użytkownik.

Weźmy przykład z prawdziwego świata: Google używa podobnych plików cookie dla swoich usług. Możesz być zalogowany przez kilka tygodni. Z tego, co zauważyłem, sposób na złagodzenie ataków na kradzież plików cookie polega na unieważnieniu pliku cookie, jeśli wykryją podejrzane działania po stronie serwera. Na przykład, jeśli zazwyczaj jestem zalogowany z Kalifornii, a ja nagle loguję się z innego stanu/kraju (lub sesje równoległe z innego miejsca!), Mogę zostać wylogowany i zmuszony do ponownego uwierzytelnienia. Oczywiście nie bez zarzutu, ale można użyć wzorców użycia, aby udaremnić niektóre ataki.

Pamiętaj też, że plik cookie będzie specyficzny dla przeglądarki. Na przykład, jeśli odciski palców przeglądarki zostały użyte do stwierdzenia, że ​​użytkownik właśnie zalogował się z innego systemu operacyjnego/przeglądarki/itd., Może to być dobry moment na unieważnienie pliku cookie. Być może mógłbyś mieć ochotę i pozwolić sobie na pewną swobodę w przypadku aktualizacji mniejszej wersji przeglądarki, ale zgłoś ją, jeśli wersja przeglądarki kiedykolwiek zostanie zmieniona na na starszą wersję.