Comment puis-je empêcher le détournement de session par copier simplement un cookie d'une machine à l'autre?
La plupart des Applications Web utilisent des cookies pour gérer la session d'un utilisateur et vous permettent de rester connecté même si le navigateur est fermé.
Permet de prétendre nous avons tout fait dans le livre de assurez-vous que le témoin lui-même, est de sauvegarder.
- chiffrer le contenu
- définir uniquement http
- ensemble sécurisé
- ssl est utilisé pour la connexion
- nous vérifions pour les manipulations avec le contenu du cookie
Est-il possible d'empêcher un accès physique à la machine à copier le cookie et de le réutiliser sur une autre machine et ainsi voler la session?
Aucune de vos propositions de contrôles serait en aucune façon empêcher quelqu'un de physiquement de la copie d'un témoin non modifiée vers un nouvel emplacement.
Vous pouvez lier une session à une adresse IP, mais ce n'est pas vraiment une bonne idée de lui-même quand il se casse légitimes des utilisateurs dans une variété de circonstances. (Bien que des vérifications d'IP peut certainement être utile dans le cadre plus large d'une cote de risque de la stratégie.)
L'adresse IP n'est pas une option, car vous rendrait votre cookie à chaque fois que vous modifiez le réseau.
Ces mesures n'ont rien à voir avec la copie du cookie. Ceci démontre ce qui peut être fait pour faire le valeur sûre.
Rien de ce qui fait la valeur sûre. Ils ne protègent que la connexion. Vous semblez faire l'hypothèse ici que les principales applications ont une certaine forme de protection en place pour cela. Si vous utilisez les applications que vous trouverez que la protection se présente généralement sous la forme de courts activité en fonction de délais d'attente de plus d'une adresse IP à témoin association de. C'est juste la manière dont les navigateurs de travail. Si vous avez besoin d'une solution plus sécurisée envisager la rédaction de votre propre Navigateur dans quelque chose comme QT.
Vous pouvez lier une session à une adresse IP, mais ce n'est pas vraiment une bonne idée de lui-même quand il se casse légitimes des utilisateurs dans une variété de circonstances. (Bien que des vérifications d'IP peut certainement être utile dans le cadre plus large d'une cote de risque de la stratégie.)
L'adresse IP n'est pas une option, car vous rendrait votre cookie à chaque fois que vous modifiez le réseau.
Ces mesures n'ont rien à voir avec la copie du cookie. Ceci démontre ce qui peut être fait pour faire le valeur sûre.
Rien de ce qui fait la valeur sûre. Ils ne protègent que la connexion. Vous semblez faire l'hypothèse ici que les principales applications ont une certaine forme de protection en place pour cela. Si vous utilisez les applications que vous trouverez que la protection se présente généralement sous la forme de courts activité en fonction de délais d'attente de plus d'une adresse IP à témoin association de. C'est juste la manière dont les navigateurs de travail. Si vous avez besoin d'une solution plus sécurisée envisager la rédaction de votre propre Navigateur dans quelque chose comme QT.
OriginalL'auteur Sam | 2013-06-10
Vous devez vous connecter pour publier un commentaire.
Ça n'a pas de sens à "protéger" contre cette. Si ce genre de copie qui se passe, alors soit:
J'ai essayé de clarifier un peu. Fondamentalement, il s'agit du fait que si un secret est exposé à un attaquant, qui ne peuvent pas empêcher l'attaquant de connaître le secret. C'est une tautologie.
Vois, je ne sais pas si je suis d'accord avec cela - même si vous ne compromettre un cookie, vous devriez être en mesure d'en empêcher l'utilisation sur une autre, complètement différente de la machine. Ce n'est pas facile à faire, mais je pense que "ne pas s'en soucier" n'est pas une bonne façon d'aller.
Je vois ce que vous dites, mais en essayant d'empêcher qu'un petit morceau de (secret), les données de la copie, c'est comme essayer d'écrire un logiciel qui vous empêche d'écrire un mot de passe sur un bout de papier: comment avez-vous pu, même en principe, l'empêcher?
Eh bien, il devait être exécutée par le serveur. À court d'OS fingerprinting, je suppose que vous pouvez restreindre le cookie est valide uniquement pour les clients en provenance de l'adresse IP de certains, mais vous devez bloquer l'accès légitime si le vrai client est arrivé de changer d'adresse IP. Tout le reste, comme par exemple,
User-Agent
chaîne, est sous le contrôle du client.OriginalL'auteur Celada
Ce risque est inhérent à l'utilisation de cookies pour authentifier des sessions: le cookie est un porteur du jeton, n'importe qui peut présenter le cookie est authentifié.
C'est pourquoi vous voyez d'autres protections telles que:
OriginalL'auteur Michael