Sicurezza Web: utilizzo dei cookie in https

4

Sto prendendo una lezione di sicurezza web e mi è stato detto dall'istruttore che la maggior parte dei siti Web oggi utilizza https per l'autenticazione e quindi utilizza un cookie (token di autenticazione) in testo normale per tenere traccia dell'utente.

Volevo confermarlo. Ad esempio, quando uso Amazon.com, se ho effettuato l'accesso in precedenza, Amazon mostra qualcosa di rilevante per la mia cronologia. Per questo devono usare un cookie. Ma quando clicco su Account, viene aperta una pagina https. Se guardo i dettagli del mio account, perché Amazon dovrebbe scegliere di inviare un cookie (che funge da token di autenticazione) in testo normale? Se riesco ad ascoltare oltre il filo, non posso semplicemente rubare il cookie e dirottare la sessione di qualcuno?

La mia ipotesi è che siti come Amazon abbiano più cookie, alcuni sono per pagine che non hanno bisogno di https (come la home page), ma vogliono comunque tenere traccia della cronologia utente; altri sono per il tracciamento se l'utente è autenticato in precedenza (quindi l'utente non ha bisogno di digitare nuovamente la password), e questo tipo di cookie deve sempre essere inviato su https.

Qualcuno può confermare la mia ipotesi? (Credo che il mio istruttore potrebbe non essere del tutto corretto)

    
posta Jake 30.05.2014 - 05:50
fonte

3 risposte

4

Questo potrebbe essere ottenuto in modo relativamente sicuro con due cookie.

Uno ha la Bandiera protetta impostata e conterrà i dettagli della sessione HTTPS e verrà utilizzata durante il checkout processo quando si effettua un acquisto. Il Flag sicuro garantisce che il browser invii il cookie solo su connessioni protette da SSL / TLS (ad es. Usa il protocollo HTTPS ).

L'altro non ha questo flag impostato e memorizzerà i dettagli della sessione HTTP. I dettagli della sessione archiviati sul lato server potrebbero essere visualizzati, oppure se hai precedentemente effettuato il login potresti legare la tua sessione a un account. Questo è ciò che verrebbe utilizzato quando il sito dice Benvenuto Giovanni quando ritorni senza accedere.

Perché funzioni, non ci dovrebbe essere alcun modo per determinare il valore del cookie della sessione sicura da quello non sicuro.

Il cookie non sicuro potrebbe essere utilizzato fino al punto di entrare nella cassa o nelle pagine dei dettagli dell'account, dove viene quindi richiesto un accesso tramite HTTPS dove viene quindi impostato il cookie della sessione protetta. Questo fermerebbe un attacco MITM dall'ottenere il cookie, come se un attaccante rubasse l'insicuro cookie il peggiore che potrebbero fare è modificare la cronologia di navigazione dell'utente o aggiungere / rimuovere elementi dal carrello. Se fosse implementato in questo modo, si presumerebbe che l'utente controllerebbe che gli elementi del paniere copiati nella loro sessione sicura fossero quelli che volevano effettivamente ordinare prima di completare il checkout (o che leggessero la loro e-mail di conferma e cancellassero gli articoli più tardi). / p>

Non è chiaro dalla tua domanda se il tuo istruttore si riferisca all'invio di cookie di testo normale usando attentamente le buone pratiche come sopra, o come un cattivo esempio di come non farlo. In quest'ultimo caso, molti siti Web in realtà proteggono solo determinate pagine come le pagine di accesso e dei dettagli della carta con HTTPS, ma poi continuano a utilizzare lo stesso cookie di autenticazione o di sessione anche su pagine HTTP, senza rendersi conto che questo valore di cookie viene inviato nel chiaro e può essere letto da un aggressore opportunamente posizionato.

    
risposta data 30.05.2014 - 19:03
fonte
3

In realtà, se il sito è completamente HTTPS, allora l'intero sito è crittografato (intestazioni, cookie e tutto). Ulteriori informazioni su SSL qui .

Con Amazon, utilizzano fondamentalmente una combinazione di dati privati protetti (la sessione di accesso) e dati "privati" non sicuri (il tuo indirizzo IP).

Ci sono due modi fondamentali in cui un sito può "tracciare" come ti è stato descritto in modo tale che quando vai su Amazon.com visiti la homepage non SSL e potrebbe "magicamente" mostrarti un po 'di elementi suggeriti.

  1. Memorizza un cookie locale (sulla tua macchina) e lo invia ad Amazon dicendo "hey, questo sono io". Questo cookie potrebbe essere crittografato o meno e, a seconda di quali informazioni sono effettivamente memorizzate nel cookie, potrebbe essere o meno un rischio per la sicurezza.
  2. Un sito potrebbe anche farlo senza memorizzare nulla con te a livello locale. Lo fanno semplicemente legando il tuo indirizzo IP (che viene inviato come parte di qualsiasi richiesta HTTP -in testo normale) a un IP corrispondente che ha su file per te e per volia.

Mentre il tuo esempio di Amazon non invia sicuro cookie di testo normale e quindi non c'è molto rischio di ciò che hai descritto come MiTM attack , questi tipi di attacchi possono verificarsi - specialmente se il" secure flag " non è impostato con il cookie.

NOTA: puoi controllare tutto questo (vedi le richieste http / https, vedere i cookie, ecc.) usando uno sniffer di pacchetti come wireshark o anche solo un debugger del browser come firebug.

    
risposta data 30.05.2014 - 06:15
fonte
0

Cookies can be used for both session management and Tracking users behaviour.

Molti cookie possono essere posizionati da un singolo sito Web ogni presente per fornire funzionalità diverse. Dipende dall'implementazione della modalità di utilizzo dei cookie.  Alcuni possono essere posizionati usando tag sicuri e HTTPonly.

Social sites and other websites show advertisements tracking user behaviour also have the connection with the e-commerce site.

Quindi secondo me, alcuni cookie non sono protetti da pubblicità o molti sono condivisi tra domini diversi, come solo un esempio, Facebook mostra pubblicità di ciò che ho visto su Amazon l'ultima volta. O solo la mia ricerca su google di alcuni prodotti mi viene mostrata su altri siti. Mentre alcuni sono sicuri per l'autenticazione dell'utente, i pagamenti, le informazioni personali e bancarie degli utenti .. ecc.

    
risposta data 11.02.2017 - 19:48
fonte

Leggi altre domande sui tag