Comment puis-je empêcher le détournement de session par copier simplement un cookie d'une machine à l'autre?

La plupart des Applications Web utilisent des cookies pour gérer la session d'un utilisateur et vous permettent de rester connecté même si le navigateur est fermé.

Permet de prétendre nous avons tout fait dans le livre de assurez-vous que le témoin lui-même, est de sauvegarder.

  • chiffrer le contenu
  • définir uniquement http
  • ensemble sécurisé
  • ssl est utilisé pour la connexion
  • nous vérifions pour les manipulations avec le contenu du cookie

Est-il possible d'empêcher un accès physique à la machine à copier le cookie et de le réutiliser sur une autre machine et ainsi voler la session?

Aucune de vos propositions de contrôles serait en aucune façon empêcher quelqu'un de physiquement de la copie d'un témoin non modifiée vers un nouvel emplacement.
Vous pouvez lier une session à une adresse IP, mais ce n'est pas vraiment une bonne idée de lui-même quand il se casse légitimes des utilisateurs dans une variété de circonstances. (Bien que des vérifications d'IP peut certainement être utile dans le cadre plus large d'une cote de risque de la stratégie.)
L'adresse IP n'est pas une option, car vous rendrait votre cookie à chaque fois que vous modifiez le réseau.
Ces mesures n'ont rien à voir avec la copie du cookie. Ceci démontre ce qui peut être fait pour faire le valeur sûre.
Rien de ce qui fait la valeur sûre. Ils ne protègent que la connexion. Vous semblez faire l'hypothèse ici que les principales applications ont une certaine forme de protection en place pour cela. Si vous utilisez les applications que vous trouverez que la protection se présente généralement sous la forme de courts activité en fonction de délais d'attente de plus d'une adresse IP à témoin association de. C'est juste la manière dont les navigateurs de travail. Si vous avez besoin d'une solution plus sécurisée envisager la rédaction de votre propre Navigateur dans quelque chose comme QT.

OriginalL'auteur Sam | 2013-06-10