1. ホーム
  2. 質問と答え
  3. ユーザー認証 - HTTP経由でセッションCookieを渡すセキュリティリスク?

ユーザー認証 - HTTP経由でセッションCookieを渡すセキュリティリスク?

2012-03-20 17 views
1

私は自分のウェブサイトに「クライアントセンター」を持っていますが、これはHTTPS経由でしかアクセスできません。私は現在、ログインしたUser_Authenticated、Client_IDなどのPHPセッション変数を追跡するために単一のセッションCookieを使用しています。ユーザー認証 - HTTP経由でセッションCookieを渡すセキュリティリスク?

ナビゲーションバーのリンクを「ログイン」から「クライアントセンター」に変更したいのですが"これは簡単ですが、私のウェブサイトのほとんどは、HTTPSではなくHTTPを指す絶対的なリンクを持っています。私は自分のリンクをすべて相対的なものにすることができます。そうすれば、ログインしたらうまくいけばHTTPS上に置くことができますが、私のサイトではグラフィックスが集中しているので、HTTPS上にとどまることは保証できません(例えば、ログイン後にブラウザにhttp://mysite.comと入力してください)。

1)は、HTTP経由でこのクッキーを渡すことでリスクがあり、次のように

私の質問はありますか?私はそれが傍受され、偽装される可能性があると聞きます。それは悪いだろう!

2)クレデンシャルを含むsecure_onlyクッキーであるCookieと、ナビゲーションバーのリンクでブラウザがログインしているかどうかをブラウザに知らせる2つのCookieを使用できますか?異なるクッキーでこれを同時に複数のセッションを使用することは可能ですか?

私はデータベースベースのセッション管理システムの使用についても聞いたことがありますが、今のところこれは私の頭上です。私はPHPとMySQLの初心者です(これは私の最初のサイトです)。

ありがとうございます!

出典

2012-03-20 Newbie Aspiring Programmer

+0

標準のセッションを使用していないのはなぜですか?実際のセッションデータをすべてサーバーに保存し、IDだけをクライアントに残すのはなぜですか?どんな場合でも、簡単にHTTPをスニッフィングできます。 – Brad

+0

あなたは常にHTTPsを強制することができる –

+0

ああ、それはどのように動作するのですか?それは私がやっていることです(私は思っています)。 –

答えて

1

2番目のCookieを使用して、必要な操作を行うことができます。次に、HTTPおよびHTTPSページ(ログイン状態を取得するため)にセッションCookieを使用できますが、2番目のHTTPSのみのクッキーでのみ認証を行います。

私はarticleと書いて、セッションと認証を維持しながら、この2つの懸念を分ける方法を説明しました。サイト全体でHTTPSを使用することにしたとしても、それは良いことです。

私はサイト全体でHTTPSを強制することについて考えていますが、これはあなたの人生を楽にします。サイトのトラフィックがあまり多くない場合は、今日のサーバーには問題ありません。

出典

2012-03-20 22:16:43 martinstoeckli

+0

ありがとう!これはまさに私が探していたものです。あなたは私のヒーローです! :o) –

0

あなたはHTTPを介して渡されるこの

http://systembash.com/content/force-https-ssl-access-url-apache/

出典

2012-03-20 21:39:18 alvariux

+0

これは私が最初にやっていたことですが、私は共有ホスティングをしています。余分なオーバーヘッドが私のサイトのパフォーマンスを破壊していました。認証されたユーザーだけがHTTPS経由でそれを表示していても大丈夫ですが、訪問者の大部分はメンバーになれません。 –

+0

なぜあなたは、メンバーのみとパブリックサイトを分けていないのですか? – alvariux

+0

書き直しを行うと、HTTPSにリダイレクトされる前に最初の要求がクリアで送信されます。あなたが慎重でないなら、そこにクッキーが漏れるかもしれません。 – Bruno

1

認証クッキーを使用することができますが、悪い考えです。これは不快感を招く問題で、Google、Facebook、Twitterなどが常にhttpsを奨励(または必要とする)している理由です。

ウェブサイトのセッションハイジャックが心配な場合は、保護が必要なすべてのページとアセットに対してhttpsを強制する必要があります。理想的には、すべてのアセットに対してhttpsを強制して、ページ上の混在セキュリティに関する迷惑メール警告を回避します。

出典

2012-03-20 21:41:59

+0

基本的に私はサイト全体にHTTPSを強制する必要があります。私は興味がありますが、StackOverflowはHTTPSを使用しておらず、ユーザーを認証するためにセッションCookieを渡しています。私の名前はページの一番上にあり、私はそれをクリックして私のプロフィールを見ることができます。ログインすることなく投稿することができます。認証のためにクッキーを使用していませんか? –

+0

はい、StackOverflowはおそらくファイアシープスタイルの攻撃に対して脆弱です。 Wi-Fiホットスポット(またはその他の公共ネットワーク)でSOを使用していて、誰かがあなたのネットワークトラフィックをキャプチャしている場合は、実際には問題になります。セッションクッキーを取得できる場合は、セッションをハイジャックすることができます。私はSOのセッションについて心配していませんが、gmailのセッションよりもそうです。 –

+0

大丈夫です。このAndrewと私を助ける時間をとってくれてありがとう。私は間違いなくそれを感謝します! –

関連する問題

 関連する問題