¿Por qué las cookies de sesión de Sniff cuando UN / PW también debería estar disponible?

Hay 2 razones principales por las que las cookies son más fáciles de robar que las credenciales de inicio de sesión:

Las cookies se envían para cada solicitud, las credenciales de inicio de sesión solo se envían una vez para cada "sesión"

Si huele una red, es menos probable que esté en el lugar en el que un usuario realice un inicio de sesión con su nombre de usuario y contraseña.

Por otra parte, las cookies se envían para cada solicitud al servidor web. Es más probable que pueda capturar una cookie de sesión que una autenticación de nombre de usuario / contraseña.

Es difícil predecir qué parámetros GET / POST que contienen las credenciales de inicio de sesión

Detectar las credenciales de autenticación reales en la web puede ser un poco complicado. Esto se debe a que virtualmente cada aplicación web tiene su propia forma de hacerlo. Es difícil anticipar todas las distintas URL de autenticación.

Por ejemplo:

GET /login?username=dogeatcatworld&password=letmein
GET /auth?u=dogeatcatworld&p=letmein
GET /auth?auth=<base64encoded credentials>

Las cookies, por otra parte, siempre existen en el encabezado HTTP, y es trivial extraerlas de las solicitudes.

Si el nombre de usuario y la contraseña se enviaron en texto sin formato, entonces sí, olerlos es una mejor opción.

Sin embargo, un patrón común es que el proceso de inicio de sesión esté cifrado (por seguridad), y luego el resto de la sesión se realiza de forma clara (porque el cifrado impone un poco la penalización de rendimiento). En tal caso, el nombre de usuario y la contraseña no se pueden capturar, pero la cookie de sesión, que se está transmitiendo de manera clara, sí puede.