Come impedire ai cookie scaduti di mantenere l'accesso?

1

La mia azienda ha un sito Web che è stato recentemente oggetto di un controllo di sicurezza. Hanno scoperto che se un hacker aveva ottenuto l'autorizzazione per i cookie utilizzati dal nostro sito Web .NET, questi potrebbero essere utilizzati per accedere al sito anche dopo che l'utente per cui sono stati creati si è disconnesso manualmente reinserendo i cookie nel proprio browser.

Lo scadere di un cookie modifica il cookie stesso in modo che il sito Web .NET sappia che è scaduto e, in tal caso, come fa .NET (o un sito Web in generale) a sapere che il cookie non scaduto ottenuto dall'hacker è scaduto.

    
posta dckuehn 28.09.2018 - 17:41
fonte

1 risposta

4

Come funzionano le sessioni?

Prima di poter comprendere il problema, è necessario avere una comprensione di come funzionano le sessioni.

Il modo più comune per gestire le sessioni è quello di inviare al browser un cookie con un valore casuale e imprevedibile al momento dell'accesso e associarlo ad alcuni dati sul server:

  1. Informazioni di accesso degli utenti POST
  2. Il server convalida le informazioni di accesso, crea una stringa casuale 2c64279f045bcb64ea8cd4d576514545 , lo mappa in alcuni dati:

    2c64279f045bcb64ea8cd4d576514545: {userId: 123, username: "johndoe", otherdata: ...}

  3. Server indica al browser di memorizzare 2c64279f045bcb64ea8cd4d576514545 come cookie che alla fine scadrà

  4. Il browser invia il cookie con ogni richiesta al server, in modo che il server possa vedere chi sta effettuando la richiesta

Come funziona la scadenza della sessione?

Poiché i dati dei cookie sono utilizzati come valore di ricerca sul server, il semplice scadimento del cookie non è sufficiente. Chiunque poteva copiare il valore e il server non avrebbe idea che avrebbe dovuto scadere. Scadenza sessione deve succedere lato server. Il modo in cui questo viene fatto dipende dalla lingua e dal framework che stai utilizzando. Non ho utilizzato personalmente .NET, ma questo potrebbe essere rilevante.

    
risposta data 28.09.2018 - 17:57
fonte

Leggi altre domande sui tag