Sessioni implementate tramite i cookie su HTTPS

3

Ho una domanda sulle sessioni implementate tramite i cookie. Ho appena iniziato a conoscere la sicurezza e mi scuso se questa domanda si presenta come qualcosa di elementare.

Diciamo che sto usando HTTPS, quindi tutti i dati dei cookie sono crittografati e solo il server può decrittografarli con la sua chiave privata. Ma questo non impedisce a qualcuno di annusare il mio traffico e di vedere esattamente la stessa stringa nelle intestazioni di ogni richiesta. Quindi qualcuno che sniffa il traffico può capire che questa stringa costante in ogni intestazione di richiesta può essere un cookie di sessione. Se l'utente malintenzionato tenta di modificare qualsiasi carattere all'interno del corpo o del cookie della richiesta, verrà visualizzato come indesiderata sul server durante la decrittografia. Tuttavia, anche se è crittografato, l'utente malintenzionato può inviare nuovamente la richiesta ed eseguire attacchi di riproduzione, giusto?

Ho ragione nel dire che SSL / TLS impedisce la manomissione dei cookie, ma in realtà non impedisce il furto e / o la riproduzione?

    
posta Anish Sujanani 08.07.2018 - 17:29
fonte

1 risposta

8

TL; DR: HTTPS impedisce sia la manomissione dei cookie che il furto e la riproduzione di cookie da parte di un uomo nel mezzo.

Innanzitutto, HTTPS non solo crittografa il cookie ma l'intero traffico. Inoltre, a causa del modo in cui viene eseguita la crittografia (IV casuale e anche chiave di crittografia diversa per ogni sessione TLS) la crittografia degli stessi dati semplici risulta sempre in diversi dati crittografati. Ciò significa che un utente malintenzionato visualizzerà sempre dati crittografati diversi in cui viene trasferito il cookie. Inoltre, la riproduzione di eventuali dati crittografati in seguito comporterà solo un errore di decrittografia.

Si noti che ci sono attacchi che utilizzano i canali laterali (dimensione dei dati compressi) per estrarre i cookie. Vedi Current State of BREACH (GZIP SSL Attack)? e altri per maggiori informazioni.

    
risposta data 08.07.2018 - 18:15
fonte

Leggi altre domande sui tag