Ha senso un cookie di sessione unica?

Question

Ha senso un cookie di sessione unica?

#1 da (1 voti)
#2 da (0 voti)
#3 da (0 voti)

0

Recentemente ho affrontato un sito che sembra implementare qualcosa che possiamo chiamare "cookie di una volta". Questo cookie viene utilizzato per l'accesso singolo tra diversi siti.

In ogni richiesta il server invia un Set-Cookie che imposta un nuovo cookie di sessione utilizzato dal browser nella richiesta successiva ... Questo meccanismo dovrebbe ridurre il rischio di furto di cookie . Suppongo che non protegga completamente il furto di cookie perché se rubi il cookie prima che l'utente lo usi, puoi usarlo una volta e ottenere il nuovo set-cookie ... ma è più difficile per un utente malintenzionato usarlo .

Ha senso? È un meccanismo valido per evitare il furto di cookie?

cookies session-management single-sign-on

posta kinunt 05.05.2014 - 12:30

fonte

3 risposte

Leggi altre domande sui tag cookies session-management single-sign-on

Foreign MRT.exe? In che modo un processo è obbligato ad eseguire codice binario?

score 1 · Answer 1

Alcuni anni fa c'era un documento intitolato "One-Time cookies: Prevenire gli attacchi di Session Hijacking con i token di autenticazione stateless", ma quell'implementazione utilizzava intestazioni di estensione HTTP X-OTC e aveva un sacco di cripto sotto il cofano. Ciò che stai vedendo suona come qualcosa di diverso, però.

link

score 0 · Answer 2

Non impedirà il furto, ma la modifica del cookie significa che se un cookie viene rubato, l'utente ne viene a conoscenza rapidamente e può accedere nuovamente (il che probabilmente invaliderà l'altra sessione.)

Se non puoi impedire che qualcosa si verifichi, aumentare la capacità di individuarlo rapidamente è la cosa migliore. Non sarà di alcun aiuto se il cookie viene rubato quando l'utente ha terminato la sessione, ma è meglio di niente.

score 0 · Answer 3

Sì, ha senso. L'idea di cookie una tantum serve a prevenire attacchi come il dirottamento di sessione.

Ad esempio, questo articolo (@ bgt421 ha indicato questo documento in un'altra risposta) implementa i cookie una tantum con firmando ogni richiesta utente con una sessione segreta archiviata in modo sicuro nel browser.

In effetti, il documento di cui sopra difende che i suoi cookie OTC non sono vulnerabili a una serie di minacce:

Sembra che il problema principale di questi meccanismi sia che richiedono molte risorse per mantenere la sincronizzazione dello stato nell'applicazione web.