I cookie temporanei per la gestione delle sessioni non aumenterebbero l'efficacia del MITM?

0

Secondo wikipedia , un cookie temporaneo (noto anche come cookie di sessione, cookie in memoria) viene dimenticato quando l'utente chiude il browser. Questi sono anche raccomandati per i cookie di sessione OWASP .

Ho visto molti siti che consigliano di chiudere la finestra del browser per disconnettersi (eliminando in tal modo questo cookie), ma ciò non annullerebbe lo stato di accesso sul lato server. Se gli utenti non fanno esplicitamente clic sul pulsante di disconnessione (invece chiudono semplicemente la finestra del browser), un utente nel mezzo potrebbe intercettare e riutilizzare quella sessione anche dopo che l'utente originale ha chiuso la finestra del browser (e ha pensato di disconnettersi ).

Ciò non significherebbe anche che l'utilizzo di cookie temporanei per la gestione delle sessioni potrebbe potenzialmente insegnare ai tuoi utenti che non hanno bisogno di disconnettersi esplicitamente - e quindi aumentare la potenziale efficacia di un MITM? Se l'utente ha riaperto il browser e ha scoperto che sono ancora connessi, verrà loro insegnato che solo un'azione di logout esplicita effettuerà il logout.

Quindi, dovrei evitare di utilizzare i cookie temporanei per la gestione delle sessioni per questo motivo?

    
posta olemartinorg 04.03.2014 - 14:43
fonte

1 risposta

0

I cookie temporanei sono protetti solo se trattati allo stesso modo delle credenziali di accesso. Se utilizzati correttamente, devono essere scambiati solo tramite una connessione HTTPS e il cookie deve essere contrassegnato per essere disponibile solo per una connessione HTTPS. Questo protegge il cookie da un attacco MITM.

Il cookie è effettivamente una copia a breve termine del nome utente e della password, quindi devi dargli lo stesso tipo di protezione o diventa insicuro.

Se la connessione non è protetta con HTTPS, non importa se il MITM acquisisce il cookie o semplicemente intercetta la richiesta di disconnessione. Se l'attaccante controlla ciò che puoi e non puoi dire al server, sei sfortunato. Potrei fare un po 'di attenzione per un attaccante passivo che non può alterare il traffico, ma la sessione dovrebbe anche essere bloccata sull'IP, quindi solo un aggressore MITM attivo dovrebbe essere in grado di utilizzare il cookie e potrebbero anche impedire il logout.

    
risposta data 04.03.2014 - 15:14
fonte

Leggi altre domande sui tag