ID sessione php, http VS https [duplicato]

0

Quindi stavo facendo alcuni test con il cookie dell'ID di sessione php. So che i dati sono memorizzati sul server, tuttavia, un cookie con un ID univoco è memorizzato in modo che il server possa riconoscere il client durante la navigazione. Quindi, quello che è successo è che ho ottenuto l'ID del cookie e ho aperto firefox su un altro computer, ho modificato quel cookie di phpsession con l'id che avevo sul computer dove ho effettuato l'accesso ... e bam, proprio come mi aspettavo, sono stato loggato a.

Tutto quello che potevo fare per applicare la patch era controllare che l'agente utente http e i primi tre gruppi di numeri (xxx.xxx.xxx.123) dell'IP non cambino (per evitare il problema dell'IP dinamico). Voglio sapere però se l'uso di una connessione HTTPS permanente renderà il contenuto dell'ID di sessione php non dirottato, come qualcuno che si avvicina al mio computer, che prende il contenuto del cookie e lo utilizza per se stesso.

Domanda extra, so che la sicurezza attraverso l'oscurità non è buona ma c'è un modo per cambiare il nome del cookie in un acronimo come ps o sid?

EDIT: Non penso che questa domanda sia un duplicato perché nella domanda collegata il processo per impostare questi flag e i valori di configurazione non è menzionato.

    
posta Alejandro Cavazos 06.05.2014 - 01:10
fonte

1 risposta

1

Il cookie è ciò che identifica la sessione, quindi se viene rubata la sessione viene rubata. Quello che devi fare è proteggere l'applicazione e il cookie per evitare di essere dirottato.

  • Utilizza il flag HttpOnly
  • Utilizza HTTPS
  • Utilizza il flag di sicurezza
  • Utilizza le intestazioni cache corrette
  • Non utilizzare il cookie nell'URL
  • Utilizza i cookie temporanei

In generale, puoi utilizzare la Guida ai test OWASP v4 per proteggere l'intera applicazione e quindi proteggere i cookie .

    
risposta data 06.05.2014 - 07:57
fonte

Leggi altre domande sui tag