Qual è il rischio di inserire dati semanticamente significativi in un identificatore di sessione HTTP?

Question

Qual è il rischio di inserire dati semanticamente significativi in un identificatore di sessione HTTP?

#1 da (1 voti)

5

Attualmente sto valutando l'ottimizzazione delle prestazioni e sto prendendo in considerazione un modo per accelerare la gestione delle sessioni basata sui cookie. Ci sono vantaggi nell'avere un identificativo di sessione in atto quando non ci sono dati sul lato del server a cui fa riferimento. Sto cercando di capire se è una buona idea collegare un indicatore all'ID di sessione che mostra se ci sono dati server. Ciò eviterebbe la necessità di tentare di recuperare dati inesistenti in alcuni casi e potrebbe essere ulteriormente esteso per altri semplici casi (e, g, per distinguere tra diversi back-end di memorizzazione dei dati di sessione lato server).

es. la prima volta che un utente raggiunge un sito, ottiene un ID di sessione "abc" e ...

Set-Cookie: sessionid=0abc;  HttpOnly

Quando vengono aggiunti dati alla sessione ....

Set-cookie: sessionid=1abc; HttpOnly

Ovviamente la presenza / assenza di dati sul lato server sarà evidente ad un intercettatore. E c'è la possibilità che il cookie venga manomesso in modo tale che appare sia associato ai dati serveride - ma in questo caso la cosa peggiore che accada è che si comporta allo stesso modo delle sessioni attualmente .

Sono anche consapevole che nell'UE dobbiamo ora chiedere agli utenti il consenso prima di eliminare tutti i cookie non critici.

Inoltre, non sto proponendo di usare 3 identificativi di sessione di lettere! A parte un piccolo stub, il resto dell'ID di sessione continuerebbe a seguire le consuete pratiche di dati essenzialmente casuali. Suppongo che non ci sia alcun guadagno da fare se lo registri nel punto in cui lo stub cambia.

Ma qualcuno può vedere un problema che non ho?

http cookies session-management

posta symcbean 09.03.2013 - 00:50

fonte

1 risposta

Leggi altre domande sui tag http cookies session-management

L'aggressore può scappare dalla prigione di apparmor con il seguente profilo? Le botnet possono essere iniettate tramite wifi aperto su smartphone?

score 1 · Answer 1

Se lo utilizzerai solo come tag di accelerazione, non vedo alcun motivo per cui no. Hai menzionato che hai considerato la possibilità di mitigare i dati di questo cookie, quindi se stai già progettando l'identificazione dell'utente (quando applicabile) tenendo presente questa possibilità, non dovrebbe essere un ulteriore problema di sicurezza.

Per quanto riguarda la "direttiva sui cookie" dell'UE, ecco un rapido riassunto:

The law requires companies to obtain “explicit consent” before using or storing data in ways that may be considered to be “intrusive.”

IANAL si applica, ma nel mio libro un acceleratore che non è né troppo spazio / consumo di larghezza di banda, né "invadente" "Identificando o aiutando a identificare l'utente in qualsiasi modo, in realtà non rientra in questa categoria" cookie paranoia ". Se mai, è lì a beneficio dell'utente finale. Ma per essere sicuro, dovresti verificare con l'avvocato della società per la quale stai progettando la soluzione, poiché saranno i responsabili di come i loro servizi operano. Ti verrà richiesto di informare gli utenti dell'uso dei cookie sul sito web comunque ("questo sito web utilizza i cookie ... blah, blah, blah ..."),

"Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information."

in modo che la notifica possa indirizzare a una pagina che descrive ciascun valore del cookie. Non troppo descrittivo per essere un problema di sicurezza da solo, ma abbastanza per aiutare a chiarire la mente dell'utente. Qualsiasi altro requisito relativo a questa "legge sui cookie" dipende davvero da quali altri cookie utilizzerai stai usando e per quale scopo.

L'unico altro "problema" che posso pensare è che dovresti prendere in considerazione che gli utenti potrebbero abilitare / disabilitare o addirittura cancellare i cookie in modo casuale e in qualsiasi fase dell'utilizzo del tuo sito web (specialmente con tutti quelli richiesti dalla legge avvertimenti che ricordano loro che dovrebbero essere più paranoici di quanto valga la pena o essere mentalmente sani), e che questo cambiamento da solo non dovrebbe presentare alcun problema con il funzionamento del codice. In poche parole, non dovresti mai dipendere da alcun valore di cookie e considerarli piuttosto come "aiutanti", come hai suggerito di fare già in ogni caso.