34

ほとんどの Web アプリケーションは Cookie を使用してユーザーのセッションを管理し、ブラウザーを閉じてもログイン状態を維持できるようにします。

Cookie自体が安全であることを確認するために、すべてのことを行ったとしましょう。

  • コンテンツを暗号化する
  • httpのみを設定
  • 安全な設定
  • 接続にはsslが使用されます
  • Cookie のコンテンツの改ざんをチェックします

マシンに物理的にアクセスできる人が Cookie をコピーして別のマシンで再利用し、セッションを盗むのを防ぐことは可能ですか?

4

2 に答える 2

27

これに対して「保護」することは意味がありません。この種のコピーが発生した場合は、次のいずれかです。

  • エンド ユーザーは、コンピュータを変更したかったので、わざとそれを行いました。もちろん、これはあなたが気にかけたり気にかけたりするべきことではありません。
  • 攻撃者はすでにユーザーのブラウザーを侵害し、内部に保存されている Cookie にアクセスしています。定義上、この Cookie は、HTTP クライアントの ID を証明するシークレットです。攻撃者がすでにサーバーにアクセスできる場合、サーバーに合法的にアクセスする実際のユーザーを防止または区別することはできません。
于 2013-06-10T18:10:35.597 に答える
16

このリスクは、Cookie を使用してセッションを認証する場合に固有のものです。Cookie はベアラー トークンであり、Cookie を提示できる人は誰でも認証されます。

これが、次のような追加の保護が表示される理由です。

  • 一定時間、または非アクティブ状態が続いた後の自動ログアウト。
  • デバイスのフィンガープリント;
  • 重要なアクション (銀行振込やパスワードの変更など) に対して再認証を要求する。
于 2013-06-11T20:48:07.197 に答える