Sessione e ID sessione SSL

Naviga le tue risposte
9

Alcuni siti, come mostrato nel rapporto per www.mbank.com.pl [ssllabs.com] o rapporto per aliorbank.pl [ssllabs.com] non supporta la "ripresa della sessione", perché gli ID sono assegnati ma non accettati (primo caso) o perché gli ID sono vuoti (secondo caso).

Non è correlato alla rinegoziazione sicura, come visibile nel rapporto per poczta.interia.pl [ssllabs.com] dove la ripresa della sessione non è disponibile mentre la rinegoziazione viene eseguita in modo sicuro.

Domanda: Perché è in rosso? È una vulnerabilità di sicurezza?

    
posta Hubert Kario 20.07.2011 - 23:22
fonte

2 risposte

8

Il mancato supporto della ripresa della sessione è non una vulnerabilità della sicurezza; ma implica un nuovo handshake per connessione, che può aumentare la latenza (una stretta di mano completa implica più roundtrip di una sessione ripresa) e il costo della CPU (principalmente sul server, con lo scambio di chiavi RSA comune).

Il primo server è alquanto scortese, in quanto restituisce un ID sessione non vuoto che rifiuta comunque; ciò che fa il secondo server (restituendo un ID vuoto) è ciò che lo standard SSL / TLS raccomanda. Tuttavia, restituire un ID sessione non vuoto per una sessione non rimborsabile non è un vero bug.

Presumibilmente, ssllabs.com usa il colore rosso qui perché è relativamente raro disattivare la ripresa della sessione - e quindi questo potrebbe essere un "bug di configurazione" che vale la pena riportare (anche se il rosso potrebbe virare un po 'troppo sul pauroso) .

    
risposta data 21.07.2011 - 02:31
fonte
2

Come già sottolineato da Thomas, disabilitare la ripresa della sessione non è una vulnerabilità. La ripresa della sessione è in realtà una funzione di prestazioni per ridurre la latenza delle richieste successive allo stesso server effettuate in un breve lasso di tempo.

C'è una ragione per cui alcuni server restituiscono un ID di sessione e quindi rifiutano di accettarlo (di cui questo test si lamenta). Ricordo che questo comportamento è una soluzione alternativa per almeno un browser che non è riuscito a gestire correttamente la mancanza di un ID di sessione [citazione necessaria].

Per quanto riguarda la tua connessione, disabilitare la ripresa della sessione può effettivamente migliorare la sicurezza. La ripresa della sessione può danneggiare l'efficacia della inoltrare la segretezza continuando a riutilizzare le sessioni.

In alcuni casi un server configurato male può negare completamente tutti i vantaggi della segretezza in avanti configurando il proprio server per archiviare i dettagli di ripresa per un lungo periodo di tempo. RFC4346 suggerisce un limite superiore di 24 ore su una durata di sessioni, tuttavia è ancora suggerito che i browser accettino la durata di vita del server.

    
risposta data 24.03.2014 - 11:28
fonte

Leggi altre domande sui tag

Come dovrebbero i fornitori di risorse convalidare i token OAuth2? Che cos'è un puzzle crittografico?