¿Se deben cifrar las cookies que contienen información no confidencial?

5

Estoy en el proceso de crear un sitio web y utilizo cookies para rastrear el inicio de sesión del usuario. El único bit de información que almaceno en esta cookie es el nombre de usuario de los usuarios.

¿Debo cifrar el nombre de usuario aunque no sea información confidencial, como una contraseña?

He notado que otros sitios que usan cookies para rastrear inicios de sesión tienen toda su información de cookies encriptada.

¿Qué posibles amenazas de seguridad podrían surgir si no lo hiciera y la única información en la cookie es el nombre de usuario?

    
pregunta Michael N 28.04.2013 - 06:24
fuente

1 respuesta

5

Olvídate del cifrado. Está realizando un seguimiento de los inicios de sesión de los usuarios a través de cookies y las cookies solo contienen nombres de usuario. ¿Qué tan difícil es para alguien predecir los nombres de usuario de otra persona? Si no encripta la información de la sesión, siempre existe la amenaza de que alguien pueda detectar la cookie y secuestrar la sesión. Pero en su caso, creo que un usuario no solo puede secuestrar una sola sesión, sino que también puede secuestrar cada sesión de inicio de sesión simplemente cambiando el nombre de usuario en la cookie. OWASP recomienda una ID de sesión de 128 bits de longitud generada a través de un generador de números pseudoaleatorios (PRNG) criptográficamente seguro. Para obtener más información, consulte gestión de sesiones de OWASP .

Una vez que configure la administración de sesión de acuerdo con las pautas de administración de sesión de OWASP dentro del código de su aplicación web, establezca un túnel cifrado y comuníquese a través del túnel cifrado. Mucha gente usa SSL para la parte de inicio de sesión, pero tan pronto como el usuario se autentica, se comunica y vuelve a HTTP. Asegúrese de que la cookie siempre se comunique a través del túnel cifrado también. Si la cookie de sesión está en texto simple, un usuario que rastrea la cookie a través de la red puede volver a reproducir la cookie y obtener acceso a la cuenta del usuario. Firesheep es una herramienta que demuestra la explotación de esta vulnerabilidad con un solo clic.

    
respondido por el void_in 28.04.2013 - 08:59
fuente

Lea otras preguntas en las etiquetas