Ha senso un cookie di sessione unica?

0

Recentemente ho affrontato un sito che sembra implementare qualcosa che possiamo chiamare "cookie di una volta". Questo cookie viene utilizzato per l'accesso singolo tra diversi siti.

In ogni richiesta il server invia un Set-Cookie che imposta un nuovo cookie di sessione utilizzato dal browser nella richiesta successiva ... Questo meccanismo dovrebbe ridurre il rischio di furto di cookie . Suppongo che non protegga completamente il furto di cookie perché se rubi il cookie prima che l'utente lo usi, puoi usarlo una volta e ottenere il nuovo set-cookie ... ma è più difficile per un utente malintenzionato usarlo .

Ha senso? È un meccanismo valido per evitare il furto di cookie?

    
posta kinunt 05.05.2014 - 12:30
fonte

3 risposte

1

Alcuni anni fa c'era un documento intitolato "One-Time cookies: Prevenire gli attacchi di Session Hijacking con i token di autenticazione stateless", ma quell'implementazione utilizzava intestazioni di estensione HTTP X-OTC e aveva un sacco di cripto sotto il cofano. Ciò che stai vedendo suona come qualcosa di diverso, però.

link

    
risposta data 05.05.2014 - 16:01
fonte
0

Non impedirà il furto, ma la modifica del cookie significa che se un cookie viene rubato, l'utente ne viene a conoscenza rapidamente e può accedere nuovamente (il che probabilmente invaliderà l'altra sessione.)

Se non puoi impedire che qualcosa si verifichi, aumentare la capacità di individuarlo rapidamente è la cosa migliore. Non sarà di alcun aiuto se il cookie viene rubato quando l'utente ha terminato la sessione, ma è meglio di niente.

    
risposta data 05.05.2014 - 16:23
fonte
0

Sì, ha senso. L'idea di cookie una tantum serve a prevenire attacchi come il dirottamento di sessione.

Ad esempio, questo articolo (@ bgt421 ha indicato questo documento in un'altra risposta) implementa i cookie una tantum con firmando ogni richiesta utente con una sessione segreta archiviata in modo sicuro nel browser.

In effetti, il documento di cui sopra difende che i suoi cookie OTC non sono vulnerabili a una serie di minacce:

Sembra che il problema principale di questi meccanismi sia che richiedono molte risorse per mantenere la sincronizzazione dello stato nell'applicazione web.

    
risposta data 05.05.2014 - 17:25
fonte

Leggi altre domande sui tag