ほとんどのWebアプリケーションは、ユーザーのセッションを管理するためにCookieを使用し、ブラウザが閉じられてもログインしたままにすることができます。マシンからクッキーを単にコピーするだけで、セッションハイジャックを防ぐ方法を教えてください。
私たちは本の中のすべてをやって、クッキー自体が保存されていることを確信しています。
が、それはありますクッキーの内容を改ざんをチェックし、接続のために使用されていますマシンへの物理的なアクセス権を持つ誰かがクッキーをコピーして別のマシンに再利用してセッションを盗むのを防ぐことができますか?
これを「保護」することは意味がありません。この種のコピーが発生した場合は、
なぜそれはすでにゲームオーバーですか?あなたの答えを精緻化してください。Gmail、Facebook、Githubなどのすべての大きなアプリはクッキーを使用します。彼らは、動作中のクッキーをチェックするだけで、トロイの木馬を避けるために何をしていますか? – Sam
私は少し明確にしようとしました。基本的には、秘密が攻撃者にさらされた場合、攻撃者が秘密を知るのを防ぐことができないという事実になります。それは同音異義語です。 – Celada
私がそれに同意するかどうかわかりません - あなたがクッキーを侵害したとしても、まったく異なる別のマシンでの使用を防ぐことができるはずです。それをするのは簡単ではありませんが、私は "それを気にしないでください"と思うのは良い方法ではありません。 –
このリスクは、セッションを認証するためにクッキーを使用することに固有のものです。クッキーはベアラトークンであり、そのクッキーを提示できる人は誰でも認証されます。次のような更なる保護を参照してください理由
は、これは次のとおりです。
改ざんされていないクッキーを物理的に新しい場所にコピーすることを、提案された小切手の中には誰も止めることはありません。 – Deadron
セッションをIPアドレスに結びつけることはできますが、さまざまな状況で正当なユーザーが壊れるので、それ自体は良い考えではありません。 (IPチェックはより幅広いリスクレーティング戦略の一部として役立ちますが) – bobince
@bobince:ネットワークを変更するたびにCookieを無効にするため、IPアドレスはオプションではありません。 – Sam