Cookieベースの認証を保護する

Question

私は現在、私のWebアプリケーションの1つを考慮に入れています。セキュリティを改善するためのアドバイスが必要でした。

私は、アプリケーションがASP.netであり、現在の実装では、統合認証を使用してから私を妨げることに注意しましょう。これは、高度なセキュリティを必要とするアプリケーションでもありません。私は自分の拠点をカバーするのが好きです。

私は過去にIDとトークンを保存していました。 トークンは、ユーザーのIDとユーザーのSaltのハッシュです（認証情報の値を再利用します）。 ユーザーがサイトにアクセスすると、トークンに対してIDがチェックされ、それに応じてIDが確認されます。

ここに大きな穴があることが私に起こります。 理論上、誰かが塩分値を手にしているのであれば、ハッシュアルゴリズムを推測し、それが入るまでIDを繰り返し処理する必要があります。これが起こるとは思っていませんが、まだ間違いのようです。

適切にユーザーのクッキーが変更されていないことを確認する方法上の任意のアドバイスはありますか？

Answer 1

を行うjavascriptの で設定することはできませんつまり、唯一のクッキーのhttpを作ります成功した場合は、ブラウザーにCookieを送信して後続の要求を保管して送信します。攻撃者がトークンを取得できた場合（期限切れになる前に）、ユーザーを偽装することができます。

クッキーと認証プロセスは、常にHTTPSセッションを介して行われるべきである。このためです。攻撃者がクッキーを保持しなければならない真の唯一の方法は、エンドユーザーのコンピュータ上で傍受することです。もし可能ならば、おそらくキーストロークロガーをインストールして、ユーザーのパスワードを取得することができます。

どのような種類のトークンでも、攻撃者が推測するには計算上高価になるほど擬似ランダムであれば問題ありません。私は自分でGUIDを使用します。セッションIDだけでなくクッキーに余分な情報が必要な場合は、GUIDを追加して、おそらくベルトやブレースのアプローチのためにハッシュまたは暗号化することができます。

Answer 2

二つの方法：

1. 対称アルゴリズム（AES）でそれを暗号化します。

それはあなたがそれを解読することができますので、これは良いです。それを解読する必要はないと主張するかもしれません。

2. ハッシュおよび記号です。この場合も秘密鍵が使用されるため、誰かが正確な内容を知っていても、秘密鍵が必要なため、ハッシュを再現することはできません。

私はおそらく（と以前に持って）オプション＃1で行くだろう。

Answer 3

なぜハッシュをクッキーに格納するだけでなく、他の擬似乱数も格納しないのですか？次に、データベースと照合してユーザーIDを取得します。

他のもの： ほとんどのウェブサイトはそれを行う方法を認証することです、それはオプションである場合、それはHTTPSのみデータを送信することが

Answer 4

最高の方法は、セッションIDをCookie値として保存することです。

ユーザーがログインするたびに、データベースまたはランダムセッションIDを持つ他のセッションストアにレコードを作成します。 IDをクッキーに入れてください。後でCookieが表示されたら、データベースからすべてのユーザー情報を取得できます。

このアプローチにあり、次のような利点、

1. それは非常に安全です。セッションIDは単なる乱数です。キーや塩の漏れを心配する必要はありません。
2. クッキーはサーバーから簡単に取り消すことができます。あなたがしなければならないのは、セッションレコードを削除することだけで、IDは役に立たなくなります。
3. クッキー値は実際には短くてもかまいません。

これがうまくいかない場合は、暗号化を試してください。ハッシュは私の最後の選択でしょう。ハッシュ自体は役に立たない。ユーザーIDやその他の情報は、別のCookieに明示的に格納する必要があります。あなたはユーザー情報を公開することになりました。