Un protocollo Secure Cookie

6

Come dice il titolo, sto cercando di implementare un protocollo di cookie sicuro

HMAC(username|expiration name|data|session key, sk)

Sembra che la chiave di sessione non sia costante durante tutta la durata della sessione dell'applicazione. Ora non sono sicuro di cosa sostituirlo, qualcuno mi ha suggerito di usare l'agente del browser ma non sembra univoco o troppo difficile da produrre, qualcuno ha qualche suggerimento?

Mi chiedo anche dove dovrei conservare la chiave del server. (Codice hard in codice sorgente, o c'è una soluzione di pastella?)

    
posta F.T 20.09.2012 - 01:05
fonte

1 risposta

4

Questa implementazione di sessione non fa nulla per risolvere OWASP a9 . In breve, è vulnerabile ad un attacco di replay. Quindi, se un hacker sta sniffando la rete o ha una vulnerabilità XSS nel tuo sito, può semplicemente copiare questo valore e usarlo.

Dovresti usare il meno crittografia possibile. La crittografia è difficile, aggiunge complessità e quando fallisce può essere disastrosa.

Un cookie dovrebbe essere un grande nonce crittografico e uno stato laterale del server di riferimento. È necessario trasmettere questo nonce crittografico come cookie con tutti i flag di sicurezza abilitati (httponly, Secure e scope).

Nota a margine, l'autenticazione RESTful di Amazon AWS non è male.

    
risposta data 20.09.2012 - 02:04
fonte

Leggi altre domande sui tag