I cookie scadono?

Naviga le tue risposte
1

Diciamo che ho un account su un blog. Sto usando https su ogni singola pagina di quel blog attraverso le regole del web server, quindi non c'è modo di visitare la pagina nel testo in chiaro. Sto anche usando un laptop che utilizza la crittografia completa del disco, e io sono colui che usa la macchina. Inoltre, ho 128 bit di password generate automaticamente per ogni sito su Internet, e ognuna delle password è diversa. Conservo anche le password in un portachiavi crittografato, nel caso in cui ne avessi bisogno, ma di solito non lo faccio a causa dei cookie. Ed ecco il problema La maggior parte dei siti internet (specialmente quelli di WordPress) ha una strana politica riguardo i cookie. Nel caso di WordPress, il tempo di scadenza del cookie predefinito è impostato su 2 giorni. Se hai selezionato l'opzione "Ricorda", sarebbero 14 giorni. Quindi una volta per un po 'devi accedere se ti piace o no.

È necessario? Voglio dire, cosa succederebbe se i cookie non avessero impostato il tempo di scadenza? C'è un modo per armarli in qualche modo? Se l'intero sito è crittografato e nessuno può accedere al tuo computer, dovresti essere preoccupato per i cookie inviati tramite Internet? Non mi è mai stato chiesto, ad esempio, da Google per la password mentre controllavo le mie e-mail.

    
posta Mikhail Morfikov 06.06.2015 - 18:17
fonte

1 risposta

2

Innanzitutto, la tua connessione a un sito Web crittografato non significa necessariamente che la tua connessione sia effettivamente protetta. Certamente aiuta, ma la crittografia può essere molto diversa in termini di qualità. Potresti aver sentito parlare di POODLE , nonché di FREAK . Bug e effetti collaterali come questi potrebbero significare che un attacker sufficientemente potente potrebbe essere in grado di rompere il SSL. E questo non include nemmeno la possibilità che una CA sia stata compromessa, come accaduto con Diginotar . E, naturalmente, il sito Web potrebbe essere compromesso, con una parte di Javascript che ruba i tuoi cookie e persino le tue credenziali, come il governo tunisino ha fatto con Facebook .

Quindi supponi che l'attaccante abbia il tuo cookie. Il server usa effettivamente quel cookie per sapere chi sei, perché è l'unico modo in cui può saperlo. Gli indirizzi IP possono cambiare e non sono abbastanza unici. Lo sniffing del browser è complicato e può interrompersi quando si esegue un'operazione di patch su Chrome (forse per gestire un bug in TLS). le impronte hardware sono difficili da acquisire e non sono abbastanza uniche. Quindi l'unico modo è avere un piccolo file sul tuo computer che dice al server chi sei. Quindi, se qualcuno sa cosa c'è in quel file, può usarlo per accedere come te.

Puoi testarlo da solo. Apri la tua console di sviluppo, trova l'elenco dei cookie su questo sito Web, apri una scheda di navigazione in incognito su questo sito Web e modifica i cookie utilizzando un'estensione. Una volta aggiornata la pagina, hai effettuato l'accesso al sito web senza inserire le tue credenziali. Alcuni anni fa, c'era uno strumento chiamato Firesheep che poteva tracciare connessioni non TLS che altre persone creavano su un wifi pubblico (per esempio, uno starbucks) e impersonarle. Anche ora, puoi acquistare uno strumento speciale chiamato Ananas per 100 EUR, ingannare le persone per connettersi al tuo wifi e rubare i loro dati.

    
risposta data 06.06.2015 - 18:57
fonte

Leggi altre domande sui tag

Come verificare l'intestazione di origine dell'intero server in IIS per impedire CSRF PCI-DSS, qual è la migliore distribuzione? [chiuso]