1. Trang chủ
  2. Câu hỏi và trả lời
  3. Làm cách nào để ngăn chặn việc chiếm đoạt phiên bằng cách sao chép cookie từ máy này sang máy khác?

Làm cách nào để ngăn chặn việc chiếm đoạt phiên bằng cách sao chép cookie từ máy này sang máy khác?

2013-06-10 20 views
14

Hầu hết các ứng dụng web sử dụng cookie để quản lý phiên cho người dùng và cho phép bạn duy trì trạng thái đăng nhập ngay cả khi trình duyệt đã bị đóng.Làm cách nào để ngăn chặn việc chiếm đoạt phiên bằng cách sao chép cookie từ máy này sang máy khác?

Cho phép giả vờ chúng tôi đã làm mọi thứ trong sách để đảm bảo rằng chính cookie đó được lưu.

  • mã hóa nội dung
  • bộ http chỉ
  • bộ đảm bảo
  • ssl được sử dụng cho kết nối
  • chúng tôi kiểm tra giả mạo với nội dung của các tập tin cookie

Có có thể ngăn chặn ai đó có quyền truy cập vật lý vào máy để sao chép cookie và sử dụng lại nó trên máy khác và do đó ăn cắp phiên không?

Nguồn

2013-06-10 Sam

+0

Không ai trong số các séc được đề xuất của bạn sẽ cản trở ai đó sao chép một cookie chưa sửa đổi sang một vị trí mới. – Deadron

+0

Bạn có thể kết hợp một phiên với một địa chỉ IP, nhưng nó không thực sự là một ý tưởng tốt bởi chính nó vì nó phá vỡ cho người dùng hợp pháp trong một loạt các trường hợp. (Mặc dù kiểm tra IP chắc chắn có thể hữu ích như một phần của chiến lược xếp hạng rủi ro rộng hơn.) – bobince

+0

@bobince: Địa chỉ IP không phải là một tùy chọn vì bạn sẽ vô hiệu hóa cookie của mình mỗi khi bạn thay đổi mạng. – Sam

Trả lời

14

Không có nghĩa là "bảo vệ" chống lại điều này. Nếu loại sao chép này xảy ra, thì:

  • Người dùng cuối thực hiện mục đích vì họ muốn thay đổi máy tính. Đây là, tất nhiên, không phải cái gì bạn nên quan tâm hoặc quan tâm.
  • Kẻ tấn công đã xâm phạm trình duyệt của người dùng và truy cập vào các cookie được lưu trữ bên trong. Theo định nghĩa, cookie này là một bí mật chứng minh rằng danh tính của máy khách HTTP. Nếu kẻ tấn công đã có quyền truy cập vào nó, họ có thể đã sử dụng nó trong bất kỳ số cách nào mà họ chọn mà bạn sẽ không thể ngăn chặn hoặc phân biệt người dùng thực sự truy cập máy chủ hợp pháp.

Nguồn

2013-06-10 18:10:35 Celada

+1

Tại sao trò chơi đã kết thúc?Xin vui lòng xây dựng câu trả lời của bạn.Tất cả các ứng dụng lớn như Gmail, Facebook, Github, vv sử dụng cookie. Họ đang làm gì để tránh những con ngựa trojan chỉ kiểm tra một cookie hoạt động? – Sam

+0

Tôi đã cố gắng làm rõ một chút. Về cơ bản nó đi xuống đến thực tế là nếu một bí mật được tiếp xúc với kẻ tấn công, những người không thể ngăn chặn kẻ tấn công biết bí mật. Đó là một nghiên cứu. – Celada

+1

Xem Tôi không biết nếu tôi đồng ý với điều đó - ngay cả khi bạn thỏa hiệp một cookie, bạn sẽ có thể ngăn chặn việc sử dụng trên một máy khác hoàn toàn khác. Nó không dễ dàng để làm điều đó, nhưng tôi nghĩ rằng "không quan tâm về nó" không phải là một cách tốt để đi. –

6

Rủi ro này vốn có trong việc sử dụng cookie để xác thực phiên: cookie là mã thông báo mang, bất kỳ ai có thể hiển thị cookie được xác thực.

Đây là lý do tại sao bạn thấy sự bảo vệ hơn nữa như:

  • tự động đăng xuất sau một khoảng thời gian nhất định, hoặc khoảng thời gian không hoạt động;
  • device fingerprinting;
  • yêu cầu xác thực lại cho các hành động quan trọng (ví dụ: thực hiện chuyển khoản ngân hàng hoặc thay đổi mật khẩu của bạn).

Nguồn

2013-06-11 20:48:07 Michael

Các vấn đề liên quan

 Các vấn đề liên quan