Ăn cắp "nhớ tôi" cookie là một mối đe dọa hợp lệ?

Question

Tôi đang sử dụng SSL để truyền tải tất cả dữ liệu. HTTP bị tắt hoàn toàn. Ngắn của phần mềm độc hại, hoặc truy cập someones máy vật lý (cả hai đều rất khó để ngăn chặn từ phía máy chủ), tôi không thấy làm thế nào một kẻ tấn công có thể ăn cắp một cookie đăng nhập.

Vì vậy, bạn có lo lắng về việc ăn cắp cookie đăng nhập không?

Sự phức tạp để triển khai đúng cookie đăng nhập không ăn cắp, vẫn cho phép người dùng có phiên trên các trình duyệt khác nhau và các máy khác nhau cao hơn tài liệu bảo vệ an toàn.

Vì vậy, tôi tin rằng không sao để bảo vệ an toàn khỏi việc sao chép và dán dữ liệu cookie từ máy này sang máy khác.

Đây có phải là thương mại hợp lệ không, hoặc tôi quên điều gì đó quan trọng ở đây.

Answer 1

Bạn cần đảm bảo rằng bạn có cờ Secure được đặt trên cookie của mình, vì bạn thường không thể ngăn mọi người cố gắng truy cập trang web của bạn qua không phải SSL. Nếu không, tôi tin rằng bạn nên được OK.

Điều đó nói rằng, tôi khuyên bạn nên thực hiện các biện pháp phòng ngừa hợp lý. Ví dụ:

• Không bao giờ bao gồm bất kỳ dữ liệu nào trong cookie hoặc trên dây có thể được sử dụng để lấy được mật khẩu của người dùng.
• Nếu có thể, hãy đặt cờ HttpOnly trên các cookie nhạy cảm để bất kỳ JavaScript có khả năng không tin cậy nào không thể lấy cắp chúng.

Answer 2

Có, it's a valid threat.

Cookie "nhớ thông tin đăng nhập" đặt bảo mật cho dịch vụ web của bạn ngoài tầm kiểm soát của bạn theo định nghĩa. Bây giờ, nói chung, bất kỳ ai (đặc biệt là một kẻ tấn công tinh vi), những người có thể chiếm đoạt cookie đó có thể đăng nhập với tư cách người dùng đó.

Hãy lấy ví dụ trong thế giới thực: Google sử dụng các cookie tương tự cho các dịch vụ của mình. Bạn có thể đăng nhập trong nhiều tuần tại một thời điểm. Từ những gì tôi đã quan sát, cách nó giảm thiểu các cuộc tấn công trộm cắp cookie là bằng cách vô hiệu hóa cookie nếu họ phát hiện hoạt động đáng ngờ ở phía máy chủ. Ví dụ: nếu tôi thường đăng nhập từ California và đột nhiên tôi đăng nhập từ một tiểu bang/quốc gia khác (hoặc có các phiên đồng thời từ một nơi khác!) Tôi có thể bị đăng xuất và buộc phải xác thực lại. Dĩ nhiên, không phải bằng chứng lừa đảo, nhưng các mẫu sử dụng có thể được sử dụng để ngăn chặn một số cuộc tấn công.

Ngoài ra, hãy nhớ rằng cookie sẽ cụ thể cho từng trình duyệt. Ví dụ, nếu dấu vân tay trình duyệt được sử dụng để xác định rằng người dùng chỉ cần đăng nhập từ một hệ điều hành/trình duyệt khác, vv, đó có thể là thời điểm tốt để vô hiệu hóa cookie. Có thể bạn có thể ưa thích và cho phép một số lượng nhất định mất nhiều thời gian nếu phiên bản phụ của trình duyệt được nâng cấp, nhưng gắn cờ nếu phiên bản trình duyệt từng bị hạ cấp.