2

現在、 と の 2 つのサイトがhttp://www.foo.co.ukありhttps://secure.foo.comます。

www サイトには SSL 証明書がなく、別のドメインにあります。

http://www.foo.co.ukクリックするとフォーム付きの iframe が開きhttps://secure.foo.com、ユーザーがログインするとそのドメインにセッション Cookie が作成されるログイン ボタンがあります ( foo.com)。

次に、セッション Cookie をコピーする必要があります。これにより、元のドメインに同じ Cookie を設定できるようにfoo.co.ukリダイレクトされます。http://www.foo.co.uk/setcookie.php?session=abcd1234

これはあまり安全な解決策ではないので、これを改善する方法を検討してきました - 私が見つけた最良のアイデアはhash_hmac、 setcookie.php スクリプトに params と一緒に何かを使用してハッシュを送信し、それを他のスクリプトで検証することですCookie を作成する前に終了します。

これは優れていますが、中間者攻撃を防ぐことはできません。www は SSL で保護されていないことに注意してください。これを完全に防ぐことはできないと思います。次善の策は、ハッシュにタイムスタンプを含めて 5 分間有効にすることです。

どうすればこれを改善できるか、またはこのアプローチの落とし穴を指摘できる人はいますか? 大変ありがたく存じます。

4

1 に答える 1

1

2 つのドメイン間で秘密を共有し、対称暗号化アルゴリズムを使用して Cookie 値を暗号化するか、安全でないドメインに公開/秘密鍵を設定し、安全でないドメインの公開鍵を使用して Cookie を暗号化するように安全なドメインを作成します。ドメイン。

また、ログイン プロセスを暗号化した後、安全でないチャネルを介してセッション Cookie を転送すると、攻撃者がユーザーになりすます可能性があることに注意してください (詳細については、firesheep Firefox 拡張機能を参照してください)。

于 2012-10-24T16:05:37.260 に答える