¿Podrían mitigarse los ataques HTTPS como CRIME cambiando la cookie de sesión regularmente?

Question

¿Podrían mitigarse los ataques HTTPS como CRIME cambiando la cookie de sesión regularmente?

#1 de Thomas Pornin (3 votos)
#2 de glidersecurity (1 votos)

3

Acabo de leer sobre CRIME que es un ataque para robar información confidencial mediante la creación de solicitudes. ¿Se podría mitigar este ataque, si el servidor no enviara al cliente la clave de sesión real para guardar en una cookie, sino una cadena generada al azar, que se asigna a la clave de sesión? En cada solicitud (o cada 100 solicitudes) esta cadena aleatoria se genera de nuevo, por lo que el cliente tendrá un secreto siempre cambiante en su cookie.

Esto haría que cualquier ataque que requiera muchas solicitudes que contienen el mismo secreto sea muy difícil y también proporcionaría el beneficio de que cada una de las cadenas aleatorias solo es válida por un tiempo muy corto ...

¿Hay algún inconveniente obvio en este enfoque? ¿O algo que en realidad no lo haría más seguro que los métodos actuales?

tls http cookies session-management compression

pregunta Falco 06.08.2014 - 16:40

fuente

2 respuestas

1

Tal vez, pero si hay un script que realiza ataques con la cookie de sesión inmediatamente después de que se intercepta, el daño ya estará hecho. Si una persona está interactuando con los datos de la sesión, es posible que no pueda actuar lo suficientemente rápido. Realmente, esto significa que estarías mitigando los ataques no dirigidos o no sofisticados.

respondido por el glidersecurity 08.08.2014 - 07:54

fuente

Lea otras preguntas en las etiquetas tls http cookies session-management compression

¿Cómo el whatismyip sabe la dirección IP real? Java org.xmlpull.v1.XmlPullParser y entidad externa XML (XXE) que procesan ataques

score 3 · Accepted Answer

En el caso de CRIME, el ataque está en el cliente. El Javascript hostil en el cliente desencadena solicitudes al servidor, que el atacante observa desde el exterior; y (ese es el punto importante aquí) el atacante puede bloquear la solicitud de salida. El atacante necesita ver los registros cifrados, pero no necesariamente para permitir que vayan hasta el servidor.

Por lo tanto, durante todo el ataque, el servidor nunca ve ninguna solicitud con la cookie en él. Incluso si el servidor cambiara la cookie para cada solicitud (una "cookie de una sola vez"), el ataque seguiría funcionando.