Si se roba una cookie de inicio de sesión / sesión, ¿el cambio de la contraseña la anulará?

Navega tus respuestas
3

Teniendo en cuenta el escenario en el que una sesión de Gmail / cookie de inicio de sesión es secuestrada o robada y se descubre mi medio de actividad de la última cuenta de Gmail, ¿cambiará mi contraseña inmediatamente anulará la cookie o el atacante podrá seguir utilizando la misma cookie para autenticarse?

Supongo que esto es lo mismo para otros sitios, como Yahoo, Facebook dada la forma en que manejan las cookies de inicio de sesión.

Además, si tengo habilitada la autenticación de dos factores, eso ayudará si mi sesión de inicio de sesión / cookie es secuestrada.

    
pregunta Madusudanan 24.07.2013 - 19:46
fuente

2 respuestas

3

Realmente depende de cómo se implementa el servidor; no se puede contar con ninguno de los dos comportamientos. Para algunos servidores, cambiar la contraseña invalidará las cookies; para otros no lo hará.

En un servidor típico, hay una base de datos con una tabla de usuarios, y otra tabla mantiene la asignación de los valores de las cookies a las identidades de los usuarios. Con tal configuración, cambiar la contraseña solo modifica la primera tabla, y el programador tomará un esfuerzo adicional para eliminar los valores de las cookies de la segunda tabla, que se asignan a ese usuario. Los programadores son alérgicos al esfuerzo, por lo que es probable que en un sitio así, cambiar la contraseña no invalide la cookie.

Pero algunos otros sitios combinan las dos tablas, por lo que cada usuario tiene uno valor de cookie activo, en cuyo caso es muy fácil anularlo al cambiar la contraseña (unos pocos caracteres adicionales en la declaración SQL) ; luego, existe una posibilidad aproximada del 50% de que el programador lo haya pensado y se molestó en agregar algunos caracteres adicionales a su declaración SQL.

Por supuesto, no se puede asumir que Gmail sea realmente "típico". Así que todo vale. Es posible que desee probarlo:

  1. Inicia sesión con tu navegador web.
  2. Cierre su navegador web (el proceso, no solo la ventana).
  3. Con otro navegador distinto (o desde otra computadora), inicie sesión y cambie su contraseña.
  4. Vuelva a abrir el primer navegador web. Ver si se le otorga acceso sin ingresar una contraseña.

Entonces lo sabrás.

    
respondido por el Tom Leek 24.07.2013 - 19:55
fuente
1

Si esto es algo que te importa, pruébalo.

La respuesta de Tom Leek se basa en que la forma en que la cookie, la cuenta y la conexión de la contraseña dependen totalmente de la naturaleza del diseño. En realidad, es una práctica de seguridad increíblemente mala colocar una contraseña o una permutación de la contraseña en la cookie, por lo que siempre hay una conexión lógica del lado del servidor entre la cookie y la cuenta.

Idealmente, los requisitos de seguridad están documentados y el diseño está bien pensado para equilibrar el riesgo con los gastos, los requisitos de procesamiento y los deseos de la interfaz de usuario. Pero eso no siempre es lo ideal: la administración de sesiones y cookies a menudo se resquebraja entre desarrolladores, diseñadores e ingenieros de seguridad.

También es una parte del código que generalmente no se publica como conocimiento público.

Por experiencia con el uso de cuentas de Google, puedo decirle que un cambio de contraseña en un sistema generalmente ha provocado la necesidad de volver a ingresar la nueva contraseña en otros sistemas horas después. No se pudo decir si fue tiempo de espera o relacionado con la forma en que se gestionan las sesiones. Además, no tengo ninguna razón para creer que lo que funciona de una manera hoy no cambiará mañana.

    
respondido por el bethlakshmi 24.07.2013 - 21:22
fuente

Lea otras preguntas en las etiquetas

Deshabilitar SSL v2 y cifrados débiles en las PC clientes Escanear el código fuente en busca de posibles virus