Sesiones implementadas a través de cookies a través de HTTPS

3

Tengo una pregunta sobre las sesiones implementadas a través de cookies. Acabo de empezar a aprender sobre seguridad y me disculpo si esta pregunta se presenta como algo elemental.

Digamos que estoy usando HTTPS, por lo que todos los datos de las cookies están encriptados y solo el servidor puede descifrarlos con su clave privada. Pero eso todavía no impide que alguien rastree mi tráfico y vea exactamente la misma cadena en los encabezados de cada solicitud. Entonces, alguien que olfatea el tráfico puede descubrir que esta cadena constante en cada encabezado de solicitud puede ser una cookie de sesión. Si el atacante intenta cambiar cualquier carácter dentro del cuerpo de la solicitud o la cookie, aparecerá como basura en el servidor durante el descifrado. Sin embargo, aunque esté encriptado, el atacante puede volver a enviar la solicitud y realizar ataques de repetición, ¿verdad?

¿Tengo razón al decir que SSL / TLS evita la manipulación de cookies, pero en realidad no evita el robo y / o la reproducción?

    
pregunta Anish Sujanani 08.07.2018 - 17:29
fuente

1 respuesta

8

TL; DR: HTTPS evita tanto la manipulación de cookies como el robo y reproducción de cookies por parte de un hombre en el centro.

Primero, HTTPS no solo encripta la cookie sino todo el tráfico. Y, debido a la forma en que se realiza el cifrado (IV aleatorio y también una clave de cifrado diferente para cada sesión TLS), el cifrado de los mismos datos sin formato siempre produce datos cifrados diferentes. Esto significa que un atacante siempre verá datos cifrados diferentes donde se transfiere la cookie. Además, la reproducción posterior de los datos cifrados solo generará un error de descifrado.

Tenga en cuenta que existen ataques que utilizan canales laterales (tamaño de los datos comprimidos) para extraer cookies. Consulte Estado actual de BREACH (GZIP SSL Attack)? y Otros para más información.

    
respondido por el Steffen Ullrich 08.07.2018 - 18:15
fuente

Lea otras preguntas en las etiquetas