Un problema con il meccanismo di rilevamento dei furti di cookie dello schema di cookie persistente migliorato di Barry Jaspan

Naviga le tue risposte
2

Ho letto questo articolo link

Intendo implementare il meccanismo di rilevamento dei furti di cookie che Barry Jaspan ha ideato in esso.

ma mi sembrava un problema.

Ho inviato una lettera a Jaspan alcuni giorni fa, ma non ha ancora risposto.

il problema è:

  • un utente può aprire diverse (almeno 2) schede nel suo browser.

  • il browser invia 2 richieste con il cookie "login_tok-dynamic_tok" all'applicazione (il nostro sistema di login). login_tok è il token che non cambierà per l'intera durata del login persistente. dynamic_tok è il token che cambia ad ogni richiesta.

  • la prima richiesta eseguita dal server fa sì che dynamic_tok cambi nel database.

  • ora viene elaborata la seconda richiesta e poiché il vecchio dynamic_tok non corrisponde a quello nel database, verrà generato un falso positivo.

posta H M 06.11.2013 - 07:46
fonte

1 risposta

1

Hai ragione, in pratica il problema molto probabilmente si verifica quando si utilizza una delle molteplici funzionalità di Firefox che consente di ripristinare e quindi aggiornare più schede contemporaneamente.

Basandomi solo sul segreto in sé, non vedo modo di dire se sia stato rubato o meno. L'unica soluzione che vedo è aggiungere una data di scadenza al token (dovrebbe essercene uno comunque per eliminare i vecchi token inutilizzati) e quando un utente mostra un token tenerlo nella base ma impostare la sua data di scadenza su un breve ritardo (impostare la scadenza a uno o due minuti prima, ad esempio). Forse dovrebbe esserci un ulteriore flag "usato" aggiunto per garantire che la data di scadenza venga aggiornata una sola volta (altrimenti un utente malintenzionato che può aggiornare la data all'infinito potrebbe conservare la validità del token nel tempo).

Quindi l'avviso "token theft" può essere generato quando il server riceve una serie valida associata a un token inesistente o scaduto.

    
risposta data 06.11.2013 - 13:10
fonte

Leggi altre domande sui tag

Quanto è comune il segreto perfetto in avanti nei client HTTPS? 2 AP (TP-LINK) - modalità bridge - problemi di sicurezza