0
私は最初のモバイルウェブアプリを構築しようとしており、Android 2.3のブラウザはhttponlyを実装していないことがわかりました。httpOnlyサポートなしでセッションハイジャックから保護する方法は何ですか?
この問題を軽減する方法は何ですか?これは失われた原因ですか?
A
答えて
1
HttpOnlyフラグの目的は、JavaScriptがセッションクッキーにアクセスできないようにすることで、Webアプリケーションのクロスサイトスクリプティング(XSS)脆弱性の場合の被害を制限することです。 Webアプリケーションが最初に正しく書かれている場合、つまりXSSに対して脆弱でない場合は、(XSSベースの)セッションハイジャックからHttpOnlyフラグを厳密に保護する必要はありません。 HttpOnlyは防衛の第二のラインです。
クライアントの制限のためにHttpOnlyフラグを使用できない場合は、HTML、JS、CSS、JSONなど、生成する任意の形式ですべての動的データを正しくエスケープする必要があります。コンテキストに応じて適切なエスケープルールを適用してXSSを防止します。または、これを行うフレームワークを使用してください。
+1
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet – Cheekysoft
+0
私の懸念事項は* my *アプリケーションではありません。私は、他の誰かが私のクッキーを盗もうとしているアンドロイドブラウザでセッションハイジャック攻撃を防御しようとしていることに心配しています。 (記録のために、私は退屈な人ではなく、これが本当の脅威であるかどうかもわかりません) – avgvstvs
+0
Cookieを盗んでセッションをハイジャックする/固定するのは、本当に本当の脅威です。ただし、Cookieが安全であることを望むウェブアプリケーションを記録することによってのみ解決できます。サービスを使用しない場合を除いて、ユーザーとしてブラウザで行うことはできません。また、サービスのHTTPSバージョンのみを使用するようにしてください(後者の場合は、依然としてman-in経由でcookie-stealageが残っています-the-middleの問題、クッキーがHTTPSのみに設定されていない場合) – Cheekysoft
XSSに加えて、ハイジャックからセッションを保護するために防御する必要のある攻撃のベクターがたくさんあります。 https://www.owasp.org/index.php/Session_hijacking_attackを参照してください。 – Cheekysoft
私は、セキュリティが侵害されたアンドロイドブラウザで特に盗聴を心配しています。 – avgvstvs
盗聴を心配している場合、最も重要なのは、HTTPS経由でサービスを実行すること(HTTPは常にHTTPS *にリダイレクトされて終了するようにする*)を行い、クッキーにそれらを制限するセキュア属性が設定されていることを確認することです(もちろん、XSSに対しても防御していますが、CSRFの保護も考慮してください)。 HttpOnlyのサポートは、スニッフィング攻撃に役立たないことに注意してください。 – Cheekysoft