Perché un cookie non persiste su macchine diverse?

Naviga le tue risposte
3

Sto eseguendo Chrome con uno specifico --user-data-dir su archivi rimovibili che mi consente di mantenere una singola sessione del browser su diversi computer durante il giorno (cronologia, segnalibri, estensioni, ecc.)

Tuttavia noto che i cookie di accesso per la maggior parte dei principali siti Web non persistono non tra le macchine. Utilizzando un browser SQLite e scavando nel database di Chrome, posso vedere che Chrome ha cookie diversi per ogni macchina che utilizzo. Accedo alla macchina A, quindi alla macchina B e devo accedere di nuovo alla macchina B. Quando torno alla macchina A, il mio cookie è ancora valido e non devo reimmettere le credenziali.

La mia domanda è: qual è il fattore aggiuntivo che costringe il browser o il server a richiedere un nuovo cookie? È l'indirizzo IP della macchina? Indirizzo MAC o qualcosa del genere?

    
posta pinhead 02.02.2017 - 02:31
fonte

3 risposte

3

What is the extra factor that forces either the browser or the server to require a new cookie? Is it the IP address of the machine? MAC address or something like that?

Non è noto quale sia il fattore aggiuntivo nei casi specifici, ma non è raro che l'indirizzo IP o qualche tipo di impronta digitale del browser sia incluso nel cookie o collegato al server sul lato server per difendersi contro il dirottamento di sessione causato da rubando il cookie. L'indirizzo MAC non è incluso in tali controlli perché non c'è modo di ottenere tali informazioni dal browser o dal server.

Vedi anche Associazione dell'ID sessione ad altre proprietà utente nel Cheat Sheet di Session Management da OWASP.

    
risposta data 02.02.2017 - 07:01
fonte
1

I cookie per definizione sono memorizzati solo su una singola macchina.

Tuttavia, in Chrome, puoi impostare le proprietà di sincronizzazione per includere tutto, inclusi i cookie di sessione.

I cookie di sessione preservano lo stato di accesso su molti siti Web.

Chrome di solito prende le decisioni giuste ma non sempre, quindi personalmente uso solo la sincronizzazione di Chrome per i segnalibri.

Quindi uso Lastpass per rendere l'accesso molto facile su tutti i computer.

    
risposta data 02.02.2017 - 06:51
fonte
1

Niente forzare il browser per evitare la sincronizzazione dei cookie tra macchine; Sospetto che potresti modificare il cromo per farlo con poco sforzo.

Ma sospetto anche che se lo facessi non avresti ottenuto il risultato che speravi. I cookie mantengono spesso lo stato più strettamente correlato alla tua sessione di navigazione di quanto tu possa pensare; oltre allo stato di login, potrebbe anche essere il tracciamento delle transazioni in volo, delle operazioni in sospeso o di altri stati utente attivi.

Inoltre, e più interessante, non è raro che i siti leghino lo stato di accesso non solo al tuo cookie ma anche al tuo indirizzo; se ti presenti da un secondo IP con il cookie di accesso originale potresti essere disconnesso. La sincronizzazione di questo stato tra più browser potrebbe comportare l'impossibilità di rimanere connessi e, dal punto di vista degli utenti, sembrerebbe che il tuo browser sia stato interrotto.

Sospetto che sia il motivo per cui. Probabilmente l'hanno provato e ha rotto tutto.

    
risposta data 02.02.2017 - 09:19
fonte

Leggi altre domande sui tag

Algoritmo della forza bruta per rompere la chiave simmetrica. Come trovare il programma quando la chiave corrente è quella corretta? E-mail con whitelist, crittografate e firmate: come potrebbero essere ingannate?