¿ataque anti-reproducción para cookies seguras?

5

En el sistema en el que estoy trabajando, ¡tenemos algunas cookies de sesión en el lado del cliente que necesitamos proteger contra el ataque de repetición! Así que encuentro el siguiente documento enlace de esta pregunta Asegurar cookies de sesión . Realmente me gusta la forma en que ponen las cosas juntas. Solo hay un problema con esto y es el uso de la clave de sesión SSL (esto se usa con el propósito de anti-reproducción). Tengo algunos problemas para obtener este parámetro en mi código (usamos .Net framework y el servidor se ejecuta en IIS7.0). Así que me preguntaba si alguien ha implementado este método para su sistema y si tiene alguna sugerencia para reemplazar este parámetro por otro.

Gracias

    
pregunta sgres 13.09.2013 - 14:58
fuente

2 respuestas

1

Una estrategia más segura es crear una aplicación en la que es muy difícil obtener el ID de sesión en primer lugar. Establezca los indicadores Secure y HTTPOnly en el valor de la cookie. Elimine las vulnerabilidades de XSS, CSRF y Clickjacking en la aplicación.

    
respondido por el rook 13.09.2013 - 18:29
fuente
2

He usado mod_auth_tkt , que utiliza un esquema muy similar.

Sugeriría una consideración muy cuidadosa antes del uso de la clave de sesión SSL : la sesión del usuario (aplicación), las conexiones TCP / HTTPS y el ID y la clave de la sesión SSL son cosas distintas. No necesariamente tienen la misma vida.

Además, la reutilización o la reutilización de material criptográfico generalmente está mal visto (aunque no puedo decir que haya definitivamente algo malo en su uso en un HMAC, el problema es determinar lo contrario).

En el caso de un navegador / aplicación web convencional, este tipo de esquema puede tener problemas inmediatamente evidentes, por ejemplo. cuando las pestañas del navegador don No comparto el estado .

Lo que ha autenticado es un "estado" del navegador, atarlo a cualquier otra cosa (estado SSL o dirección IP) es muy complicado. La vinculación con el ID de sesión SSL es más común (aunque tiene un historial de problemas de MSIE). Una de las mejores maneras de lograr esto es mediante el uso de certificados de clientes, no trivial para implementar y administrar, por supuesto.

Vea esto para muchas más consideraciones: enlace y (ahora completo) RFC 6896 Secure Cookie Sessions (borrador vinculado en la respuesta aceptada para La pregunta a la que te vinculas tiene una sección dedicada a los problemas de repetición.

    
respondido por el mr.spuratic 13.09.2013 - 18:46
fuente

Lea otras preguntas en las etiquetas