13

とりわけ、Cookie の存在をチェックし、Cookie の内容を読み取って復号化するアプリケーションがあります。Cookie 内に保存されているデータは機密ではありませんが、TripleDes 暗号化によって暗号化されています。今日、1 台の PC に保存された Cookie を別の PC にコピーできるかどうか、および Web アプリケーションがこのコピーされた Cookie が別のマシンに存在することを検出し、元の PC にあるものを最終的に復号化するかどうかという問題が提起されました。

私の質問は次のとおりです。標準の ASP.NET 実装を使用して Cookie を保存します (つまり、HttpResponse 経由)。index.dat ファイルは、あるマシンから別のマシンへの Cookie の移植を防止しますか? index.dat ファイルも転送およびコピーされた場合、または Cookie を特定のマシンに結び付ける内部構造が index.dat 内にある場合はどうなるでしょうか?

4

4 に答える 4

16

絶対。これは、クロスサイト スクリプティング (XSS) 攻撃が機能する 1 つの方法です。

  1. ページに JavaScript を挿入します
  2. 誰かがページを見てくれるのを待っています
  3. 注入した JavaScript があなたの Cookie を送信します
  4. 私はあなたとしてログインし、悪いことをします

この特定の問題は、プライベート ベータ期間中のビット SOです。

于 2009-01-14T21:16:48.307 に答える
5

はい、Cookie を盗むことは、ユーザーからセッションを盗むための一般的な手法です。

一部のサイトでは、Cookie をクライアントの IP にバインドしようとしますが、これは、複数のアウトバウンド インターフェイスまたはその他の非居住設定を備えた大企業のプロキシに直面すると失敗します。

于 2009-01-14T21:14:05.503 に答える
1

他のすべてが問題なくても、誰かがユーザーのマシンに物理的にアクセスできる場合、Cookie を別のマシンにコピーできます。

たとえば、必要に応じてディスクをクローンするだけです。

于 2010-03-03T16:12:21.220 に答える