I cookie del browser possono essere rubati "fisicamente"?

8

Qualcuno con accesso fisico a un computer di destinazione può rubare i cookie del browser e configurare una sessione autenticata canaglia in seguito?

    
posta Andrada2 20.04.2018 - 05:02
fonte

1 risposta

9

Sì, ma le esatte implicazioni dipendono dalle tecniche di autenticazione utilizzate dal sito Web che imposta i cookie. Ad esempio, alcuni siti Web potrebbero avere tempi di scadenza particolarmente brevi per i loro cookie, oppure il sito Web potrebbe eseguire verifiche supplementari (ad esempio indirizzo IP o agente utente del browser) prima di consentire l'autenticazione per continuare. In generale, il dirottamento di sessione richiede alcune cose:

  • I cookie non devono aver naturalmente raggiunto la loro data di scadenza.

  • I cookie da soli devono essere sufficienti per autenticare la sessione (senza certificati TLS, ecc.)

  • L'utente non deve aver effettuato il logout (che invaliderebbe i cookie).

Alcuni siti particolarmente mal progettati non invalideranno i cookie lato server quando l'utente si disconnette o quando i cookie raggiungono la data di scadenza. Questi siti Web si basano interamente sul browser e sono molto facili da dirottare una volta che si hanno i cookie stessi. Un sito web ben progettato terrà traccia della validità dei cookie indipendentemente dalla data di scadenza impostata nel cookie, e dovrebbe immediatamente rifiutarsi di accettare i cookie di autenticazione dopo che l'utente si è disconnesso.

    
risposta data 20.04.2018 - 05:10
fonte

Leggi altre domande sui tag