1

StackOverflow でのセッションの固定については多くの質問と回答がありますが、私はまだ 1 つのことについて混乱しています。Cookie にセッションを保存するだけでは、セッション固定の問題を解決するには不十分であり、ログイン後にセッション ID をローテーションする必要があるとよく言われます。セッション ID のみを使用してユーザーを識別する場合でも、攻撃に対して脆弱である可能性があると想像できます。ただし、具体的なケースについてお聞きしたいと思います。

セッション全体を保存するために署名付き Cookie を使用するとします。ログイン時に、ユーザーを識別する ID を Cookie に入れます。ログアウト後、ID を削除します。セッション ID は変更しませんが、セッション自体を変更して署名すると、この設計を利用した攻撃シナリオは見られません。セッションの固定はまだ問題なので、この場合でもセッション ID のローテーションは必要ですか? はいの場合、使用できる攻撃を提供できますか? ありがとうございました。

4

1 に答える 1

1

セッション固定の基本は、攻撃者がアクセスできるセッションを攻撃者に使用させることができるということです。これは通常、攻撃者に認識され、認証後に変更されない特定のセッションIDを使用するように被害者を誘導することによって行われます。

ここで説明したことは、セッションIDのようには聞こえませんが、ユーザー認証データの単純なクライアント側のデータストレージのように聞こえます。

ただし、Cookieデータを、サーバーによって追加で署名された認証済みユーザーに再び依存するデータに依存させると、認証後に確実に変更され、攻撃者に知られることはありません。その場合、そのスキームのセキュリティは実際の実装に依存します。

于 2012-09-16T20:11:12.373 に答える