In che modo Google salva le informazioni di autenticazione nel browser? [duplicare]

Naviga le tue risposte
3

Quando apro Gmail nel browser, accedo automaticamente. Credo che ciò sia dovuto ai cookie salvati in precedenza. Se rimuovo i cookie devo accedere di nuovo. Significa che Google salva alcune chiavi di autenticazione in cookie che non sono mai scaduti o tra 2-3 anni.

Ho sentito che i cookie possono essere copiati. In questo modo, se qualcuno ha accesso ai cookie, possono accedere al tuo account. Quindi il server dovrebbe mantenere il tempo di scadenza più breve (probabilmente un giorno massimo).

  • La mia comprensione del salvataggio delle informazioni di autenticazione nei cookie è corretta?
  • Se no, quale approccio usano per salvare le informazioni di autenticazione nel browser?
  • Se sì, allora come impediscono a qualcuno di copiare i cookie o piuttosto di utilizzare i cookie copiati?
posta Amit Kumar Gupta 03.10.2018 - 09:30
fonte

1 risposta

1

Sì, sei corretto che i token di autenticazione come gli identificativi di sessione sono spesso memorizzati nei cookie. A volte viene utilizzata l'archiviazione locale invece dei cookie, ma ha sostanzialmente le stesse implicazioni sulla sicurezza.

Ci sono alcune cose che lo rendono più sicuro di quanto possa sembrare all'inizio:

  • Almeno alcuni browser su alcuni sistemi crittografano i cookie . (Questo non proteggerà contro un utente malintenzionato che ha accesso al tuo sistema in uno stato di accesso, ma è qualcosa.)
  • Google probabilmente implementerà un qualche tipo di controllo di integrità ogni volta che viene utilizzato un token di autenticazione, come il controllo di qualche tipo di impronta digitale del browser o la geolocalizzazione dell'IP.
  • Infine, un utente malintenzionato che ha accesso al tuo computer in modo che possa leggere i tuoi cookie ha praticamente vinto comunque. In una situazione del genere, il furto dei cookie è solo uno dei tanti problemi che hai.

Alla fine, scegliere un tempo di scadenza è un compromesso tra sicurezza e usabilità. È una questione di opinione, ma non trovo la scelta di Google irragionevole.

    
risposta data 03.10.2018 - 15:27
fonte

Leggi altre domande sui tag

Nome certificato non valido in go, microsoft.com Come impedire ai partecipanti di barare quando si stabilisce una struttura simile a OpenPGP