Rischi di usare cookies non crittografati

Naviga le tue risposte
1

Sono in procinto di creare un sito Web di notizie curate e mi sto interrogando sulla sicurezza / sicurezza dell'utilizzo di cookie non crittografati per memorizzare le informazioni di base dell'utente (nome e codice postale). Quali sono i rischi per la sicurezza derivanti dall'utilizzo di cookie non crittografati (di testo semplice) per archiviare queste informazioni e quali sono le informazioni più sensibili (ad esempio email, password o numero di carta di credito)? Altri siti web possono visualizzare i cookie creati dal mio sito?

    
posta owlswipe 26.09.2016 - 23:30
fonte

2 risposte

2

What are the security risks of using unencrypted (plain text) cookies to store this information, and what about for more sensitive information (ex. email, password, or even credit card number)?

Ci sono molti modi in cui stai mettendo a rischio i dati degli utenti. Pochi di pensieri elencati qui sotto.

  1. Ci sono molti estensioni del browser che spia l'utente e i suoi dati. Stai facendo il loro lavoro facile.
  2. I cookie possono essere ottenuti con sniffing . Questo rivela informazioni sensibili all'attaccante. (Ovviamente questo può essere evitato impostando un flag sicuro sui cookie e usando https quando si visita il sito).
  3. I dump degli arresti anomali dei programmi (browser) potrebbero contenere questi dati sensibili dell'utente e potenzialmente li trapelare.
  4. Gli utenti possono utilizzare computer pubblici in internet cafe o chioschi . Quindi, il prossimo utente che usa quel computer può vedere cosa ho fatto. Probabilmente anche questi cookie.
  5. Inoltre, come menzionato da @Matthew, gli utenti possono facilmente manomettere questi cookie utilizzando un'estensione di cookie editor e vedere come si comporta l'applicazione. (Diciamo che ho cambiato il nome del cookie in quello di un'altra persona, mi dà accesso al loro account?)

Can other websites view the cookies my site creates?

Considerati i principali browser come Firefox, Chrome, questo caso sarà considerato un bug critico per la sicurezza. Quindi, a patto che i tuoi utenti utilizzino un buon browser, sei pronto per andare.

    
risposta data 27.09.2016 - 07:42
fonte
1

In primo luogo, il cookie è memorizzato in testo normale sul dispositivo dell'utente finale. In secondo luogo, potrebbe essere manipolato. Perché dovresti archiviarlo in un cookie piuttosto che nei dati della sessione? Tutto ciò che è memorizzato in un cookie (in particolare il testo in chiaro) su cui si basa può essere manomesso.

Per quanto riguarda gli altri siti, forse. L'attributo domain può limitare chi può vederlo, ma questo si basa sul browser per onorarlo e nessun'altra vulnerabilità da sfruttare.

    
risposta data 27.09.2016 - 00:03
fonte

Leggi altre domande sui tag

Tracciamento di un messaggio di testo L'autenticazione della chiave condivisa (WEP) è sicura?