Lo scopo del pacchetto securecookie da gorilla

0

Non capisco lo scopo del pacchetto securecokie da gorilla. link . Vedo che viene utilizzato per ottenere il valore del cookie sul server in base all'ID di sessione archiviato in cookie e algoritmo di hashing e keypairs. link

Quindi, se ho capito bene, questo protegge solo i dati della sessione quando un attaccante ha preso il controllo della scatola. Perché avrà problemi a ottenere il valore della sessione con tutti gli ID di sessione dell'utente in mano. Ma comunque, se ha preso il controllo della scatola, può ottenere tutto ciò che vuole, quindi in realtà non è protetto.

Allo stesso modo, questo tipo di protezione non può proteggere dall'attacco di un uomo medio. Se cerca di proteggere l'attacco da uomo medio, la bandiera sicura e https è la strada da percorrere. Sono corretto?

    
posta nXqd 21.04.2015 - 10:09
fonte

1 risposta

2

Sembra che fornisca una funzione simile a quella di Token Web JSON (JWT) . cioè un identità basata sulle attestazioni .

Permetterà alla tua applicazione web di impostare i valori dei cookie e di garantire l'integrità dei valori quando vengono ricevuti in richieste future.

Oltre ai controlli di integrità, anche securecookie sembra consentire la crittografia per riservatezza.

Che cosa significa

In sostanza, consente all'applicazione di impostare valori e memorizzarli in un cookie lato client che non può essere modificato dall'utente finale, con una fase facoltativa di crittografia per impedire anche la lettura del valore.

Quindi potresti memorizzare che l'utente ha effettuato l'accesso come amministratore. Normalmente se memorizzi User=administrator in un cookie, questo sarebbe soggetto a manomissioni da parte di un utente malintenzionato che ha il cookie sul proprio computer. Tuttavia, se si utilizza SecureCookie, è possibile proteggere questo valore con un hash crittograficamente sicuro. Il valore dell'hash in genere include una data e un'ora di scadenza per impedire a un utente di memorizzare il valore del cookie e quindi utilizzarlo in un secondo momento (ad esempio quando non ha accesso come amministratore).

Non protegge dagli attacchi Man-in-the-Middle o dagli attaccanti che hanno preso il controllo della scatola. Permette semplicemente di memorizzare i dati sull'utente corrente (il reclamo) sul lato client.

    
risposta data 22.04.2015 - 11:48
fonte

Leggi altre domande sui tag