3

Web アプリケーションでログイン状態を維持するための永続的な Cookie の使用について、セキュリティ監査人にフラグを立ててもらいました。少し背景として、私たちの Web アプリケーションはマルチテナントですが、破壊的な操作はありません (またはそれほど多くありません)。テナントによっては、機密情報がポータルから入手できる場合があります。

アプリケーションを設計したとき、永続的な Cookie の使用について話し合い、使いやすさに基づいて使用することを決定しました。利用可能な情報を機密情報と見なしたことはありません。私たちのユーザーはかなり初心者であり、何百ものパスワードのリセット要求があることにもっと関心がありました.

ログインに永続的な Cookie を使用することは、セキュリティ リスクと見なされますか? 一部のかなり大きな企業の運用データについて話している場合、ユーザビリティのトレードオフは議論になるのでしょうか?

パーシスタント Cookie に関する質問はこれまでありませんでした。どのクライアントからもです。両方を満たすためにデフォルトでオフになっている「持続するティック」を実装する価値はありますか?

4

2 に答える 2

3

永続的な Cookie は、さまざまな理由で使用され、多数の機能をサポートしています。アプリに「機密」なものがまったくない場合は、永続的な認証に永続的な Cookie を使用してから、再認証を発行してユーザー アカウントの詳細にアクセスするか、いくつかの変更 (パスワードや電子メール アドレスの変更など) を行うことができます。あなたのユーザーは初心者なので、他の誰かがブラウザを使用すると、パスワードを知らなくても認証されることを彼らは知らないと思います(ユーザーに指摘します)。

しかし、オンライン バンキングのようなセキュリティ クリティカルなアプリが永続的なログイン Cookie を発行しないのには理由があります。これは、アカウントの残高を変更する前に、帯域外で (モバイルまたは何らかのフォームを介して) 再認証する必要があるためです。 OTPの)。しかし、それは安全ではないと考えられており、誰かの残高を知ることがすでにプライバシーを侵害しているためかもしれません.

したがって、アプリが政府機関によって管理されておらず、自国の法律に拘束されておらず、アプリの機密部分に再認証を実装している場合、認証のために 2 ~ 3 週間の永続的な Cookie を発行することは、重大なセキュリティ上の脅威ではありません。

于 2013-01-14T07:51:05.083 に答える
0

永続的な Cookie が信頼できない場合、Fatfredyy の提案は素晴らしいように思えます。

しかし、問題が永続的な Cookie の安全でない使用である場合、それらを暗号化しないのはなぜでしょうか?

「Remember me」にチェックを入れるか、デフォルトで、ユーザーの判読不能な一意の ID と検証を含む暗号化された部分を含む Cookie が生成されます。対称暗号化の鍵は、ユーザー ID とともに DB に保管され、ユーザーと共有されることはありません。ユーザーが再度アクセスすると、ID を使用してキーにアクセスし、残りを復号化して、改ざんが行われていないことを確認します。

ユーザー ID をいじる試みが識別された場合、ユーザーにメッセージを表示し、暗号化キーを変更して、ユーザーに再認証を要求します。

これにより、ユーザーを危険にさらすことなく、永続的な Cookie を使用できるようになります。

于 2014-05-01T06:33:30.353 に答える