Implicazioni sulla sicurezza dell'utilizzo di cookie di autenticazione di lunga durata

1

Sto cercando di trovare alcune informazioni sui potenziali rischi per la sicurezza con l'autorizzazione di cookie di lunga durata per l'autenticazione del sito web.

Inizialmente era impostato per non persistere la sessione di accesso, quindi sarebbe durata solo fino alla chiusura del browser. Tuttavia, di recente l'abbiamo modificato per persistere per un paio di settimane.

Riesco a vedere come sarebbe conveniente che gli utenti non debbano ripetere di nuovo l'autenticazione, ma ci sono problemi di sicurezza fondamentali per il fatto che le sessioni durano forse un paio di mesi anziché settimane? Una scadenza più lunga per un cookie aumenta le probabilità che sia in qualche modo compromessa?

    
posta user1751825 17.08.2018 - 08:41
fonte

1 risposta

0

Limitando il tempo in cui un cookie di autenticazione è valido si limita anche il tempo in cui un utente malintenzionato ha accesso a un account se riesce a rubare detto cookie (dato che non ci sono altre contromisure in atto).

Limita inoltre la quantità di tempo in cui una persona non autorizzata può accedere a detto account ad es. un sistema condiviso nel caso in cui la vittima abbia dimenticato di uscire.

Quindi, se ci sono appropriate contromisure contro il dirottamento di sessione e attacchi simili, la durata dei cookie (illimitata) più lunga non dovrebbe essere un problema.

    
risposta data 17.08.2018 - 08:57
fonte

Leggi altre domande sui tag