1. Dom
  2. Pytanie i odpowiedź
  3. Jak zapobiec przechwytywaniu sesji, po prostu kopiując plik cookie z komputera na inny?

Jak zapobiec przechwytywaniu sesji, po prostu kopiując plik cookie z komputera na inny?

2013-06-10 14 views
14

Większość aplikacji internetowych wykorzystuje pliki cookie do zarządzania sesją dla użytkownika i pozwala na pozostanie zalogowanym, nawet jeśli przeglądarka została zamknięta.Jak zapobiec przechwytywaniu sesji, po prostu kopiując plik cookie z komputera na inny?

Pozwala udawać, że zrobiliśmy wszystko w książce, aby upewnić się, że sam plik cookie jest zapisany.

  • zaszyfrować zawartość
  • zestaw http tylko
  • zestaw zabezpieczyć
  • SSL jest używany do
  • sprawdzamy manipulowanie zawartością cookie

Jest on połączeniem możliwe, aby uniemożliwić komuś fizyczny dostęp do urządzenia, aby skopiować plik cookie i ponownie użyć go na innym komputerze, a tym samym kradzieży sesji?

Źródło

2013-06-10 Sam

+0

Żadna z proponowanych kontroli w żaden sposób nie powstrzyma kogoś przed fizycznym skopiowaniem niezmodyfikowanego pliku cookie do nowej lokalizacji. – Deadron

+0

Możesz powiązać sesję z adresem IP, ale to nie jest dobry pomysł sam w sobie, ponieważ łamie się dla uprawnionych użytkowników w różnych okolicznościach. (Chociaż kontrola IP może z pewnością być przydatna jako część szerszej strategii oceny ryzyka.) – bobince

+0

@bobince: Adres IP nie jest opcją, ponieważ unieważniasz pliki cookie za każdym razem, gdy zmienisz sieć. – Sam

Odpowiedz

14

Nie ma sensu "chronić" przed tym. Jeśli takie kopiowanie się dzieje, to albo:

  • Użytkownik końcowy zrobił to celowo, ponieważ chciał zmienić komputer. Nie jest to oczywiście coś, na czym powinieneś się martwić.
  • Osoba atakująca przejęła już przeglądarkę użytkownika i uzyskała dostęp do plików cookie zapisanych w jego pamięci. Z definicji ten plik cookie jest tajemnicą, która udowadnia tożsamość klienta HTTP. Jeśli atakujący ma już do niego dostęp, mogą go już używać na dowolnie wybrany przez siebie sposób, aby uniemożliwić lub odróżnić prawdziwego użytkownika uzyskującego dostęp do serwera w sposób zgodny z prawem.

Źródło

2013-06-10 18:10:35 Celada

+1

Dlaczego to już koniec gry?Rozwiąż odpowiedź. Wszystkie duże aplikacje, takie jak Gmail, Facebook, Github itp używają plików cookie. Co robią, aby uniknąć koni trojańskich po prostu sprawdzając działanie pliku cookie? – Sam

+0

Próbowałem trochę wyjaśnić. Zasadniczo sprowadza się to do tego, że jeśli tajemnica jest narażona na atakowanie, nie może powstrzymać atakującego przed rozpoznaniem sekretu. To jest tautologia. – Celada

+1

Zobacz Nie wiem, czy się z tym zgadzam - nawet jeśli skompromitujesz plik cookie, powinieneś być w stanie zapobiec użyciu na innej, zupełnie innej maszynie. Nie jest to łatwe, ale myślę "nie przejmuj się tym" nie jest dobrą drogą. –

6

Ryzyko to wiąże się z używaniem plików cookie do uwierzytelniania sesji: plik cookie jest tokenem na okaziciela, każdy, kto może go wyświetlić, jest uwierzytelniany.

Dlatego widać dalsze zabezpieczenia takie jak:

  • automatyczne wylogowanie po upływie określonego czasu lub okresu bezczynności;
  • device fingerprinting;
  • wymaga ponownej autoryzacji w przypadku krytycznych działań (np. Dokonania przelewu bankowego lub zmiany hasła).

Źródło

2013-06-11 20:48:07 Michael

Powiązane problemy

 Powiązane problemy