Domanda sui cookie di autenticazione? [duplicare]

1

Dire, ho un sito Web dove gli utenti sono tenuti ad accedere per accedere a determinate funzionalità. Una volta effettuato l'accesso, viene emesso un cookie di autenticazione. Alcune pagine sulla parte autenticata del sito Web utilizzano una connessione sicura, mentre altre no.

È possibile che un uomo in mezzo all'attacco rubi il cookie di autenticazione, se l'utente colpisce una pagina che non utilizza una connessione sicura?

Fondamentalmente - si dovrebbe sempre usare una connessione sicura quando si accede a qualsiasi parte di un sito web che richiede un cookie di autenticazione?

    
posta Abe Miessler 25.07.2013 - 19:40
fonte

2 risposte

4

Un " man in the middle ", per definizione, vede tutto il traffico tra i due vittime (cliente e server) e può modificarlo a piacimento. SSL (HTTPS) sconfigge MitM, soggetto ai soliti avvertimenti (il client non deve fidarsi di una CA canaglia, l'utente umano non deve fare clic attraverso gli avvisi del browser su un certificato server non valido). Se un sito è solo HTTPS, il MitM non può fare nulla. Se il sito è solo HTTP, allora il MitM può falsificare e falsificare, alterare e ispezionare i dati a volontà. Se il sito è parzialmente HTTPS, l'utente malintenzionato può giocare con le parti non HTTPS.

Un valore del cookie è un valore inviato dal server, memorizzato sul client, e il client lo rimanda al server ogni volta che ne parla. Se il cookie è stato contrassegnato come "Sicuro" e "HttpOnly" , il cookie sarà al sicuro dal MitM (a almeno, a condizione che non venga sfruttata alcuna vulnerabilità del browser): il cookie verrà inviato solo tramite HTTPS e la navigazione non lo renderà altrimenti accessibile (Javascript pericoloso, inserito nelle parti non HTTPS del sito, non sarà in grado per leggere anche il cookie). Ovviamente, ciò significa anche che il server non riceverà il cookie come parte delle richieste non HTTPS.

È difficile creare un sito HTTP / HTTPS misto che resista agli aggressori MitM, poiché è necessario disporre di alcune nozioni molto chiare sui limiti di sicurezza; e il MitM è in una buona posizione per fare molto danno attraverso le parti non HTTPS del sito. Anche se i flag "Secure" e "HttpOnly" possono mantenere i valori dei cookie fuori dalla portata dell'utente malintenzionato, la sicurezza del sito Web non riguarda esclusivamente i cookie (i coookies sono uno strumento, non un obiettivo). È molto più semplice e molto più sicuro "mordere il proiettile" e andare sul sito HTTPS.

    
risposta data 25.07.2013 - 21:16
fonte
2

Sì, questo è possibile. Se non si assicura che i propri cookie contenenti id di sessione o altre informazioni riservate siano trasferiti su una connessione protetta SSL, si è a rischio di un MiTM. Quindi sì è richiesto.

C'è tuttavia un modo per forzare i cookie su una connessione SSL. Questo può essere fatto (fai riferimento al manuale del webserver / linguaggio di programmazione che usi) aggiungendo il flag SECURE a tutti i tuoi cookie. Se questo flag è impostato, il browser del client non consentirà che il cookie venga inviato su una connessione non protetta.

Per ulteriori informazioni, fai riferimento a OWASP - SecureFlag .

    
risposta data 25.07.2013 - 19:59
fonte

Leggi altre domande sui tag