Se un cookie di accesso / sessione viene rubato, la modifica della password viene annullata?

Naviga le tue risposte
3

Considerando lo scenario in cui un cookie di sessione / login di Gmail viene dirottato o rubato e viene scoperto il mio mezzo di Gmail nell'ultima attività dell'account, la password cambierà immediatamente il cookie o l'hacker potrà ancora utilizzare lo stesso cookie per l'autenticazione?

Suppongo che questo sia lo stesso per altri siti come Yahoo, Facebook, dato il modo in cui gestiscono i cookie di accesso.

Inoltre, se ho abilitato l'autenticazione a due fattori, sarà di aiuto se la mia sessione / cookie di accesso è stata compromessa.

    
posta Madusudanan 24.07.2013 - 19:46
fonte

2 risposte

3

Dipende molto da come viene implementato il server; non puoi contare su nessuno dei due comportamenti. Per alcuni server, la modifica della password invaliderà i cookie; per gli altri non lo farà.

Su un server tipico, c'è un database con una tabella di utenti, e un'altra tabella mantiene la mappatura dei valori dei cookie alle identità degli utenti. Con tale impostazione, la modifica della password altera solo la prima tabella e il programmatore impiegherebbe un ulteriore sforzo per eliminare i valori dei cookie dalla seconda tabella, che viene mappata a quell'utente. I programmatori sono allergici allo sforzo, quindi è probabile che in tale sito, cambiando la password, non invalidi il cookie.

Ma altri siti uniscono le due tabelle, in modo che ogni utente abbia un valore attivo del cookie, nel qual caso annullarlo al cambio della password è abbastanza semplice (alcuni caratteri extra nell'istruzione SQL) ; poi c'è una probabilità del 50% circa che il programmatore ci ha pensato e si è preso la briga di aggiungere i pochi caratteri in più alla sua dichiarazione SQL.

Naturalmente, non si può presumere che Gmail sia veramente "tipico". Quindi tutto va bene. Potresti provarlo:

  1. Accedi con il tuo browser Web.
  2. Chiudi il tuo browser Web (il processo, non solo la finestra).
  3. Con un altro browser distinto (o da un altro computer), accedi e modifica la password.
  4. Riapri il primo browser Web. Verifica se è concesso l'accesso senza immettere una password.

Allora lo saprai.

    
risposta data 24.07.2013 - 19:55
fonte
1

Se questo ti interessa, provalo.

La risposta di Tom Leek è impeccabile in quanto le connessioni tra cookie, account e password dipendono totalmente dalla natura del design. In realtà è una pratica di sicurezza incredibilmente pessima mettere una password o una permutazione della password nel cookie - quindi c'è sempre una connessione logica sul lato server tra il cookie e l'account.

Idealmente i requisiti di sicurezza sono documentati e il design è ben pensato per bilanciare il rischio con spese, requisiti di elaborazione e desideri di interfaccia utente. Ma non è sempre l'ideale - la sessione e la gestione dei cookie spesso cade attraverso le crepe tra sviluppatori, progettisti e ingegneri della sicurezza.

È anche una parte del codice che generalmente non è pubblicata come conoscenza pubblica.

Posso dirti per esperienza nell'utilizzo degli account Google, che una modifica della password su un sistema ha generalmente provocato la necessità di reinserire la nuova password su altri sistemi ore dopo. Non posso dirti se era scaduto o in relazione a come sono gestite le sessioni. Inoltre, non ho motivo di credere che ciò che funziona in un modo oggi non cambierà domani.

    
risposta data 24.07.2013 - 21:22
fonte

Leggi altre domande sui tag

Perché il programma di installazione di Parallels 8 sta esaminando i cookie di Chrome? Prevenzione XSS proteggendo i cookie localmente