¿Cómo guarda Google la información de autenticación en el navegador? [duplicar]

Navega tus respuestas
3

Cuando abro Gmail en el navegador, inicio sesión automáticamente. Creo que esto se debe a las cookies guardadas anteriormente. Si elimino las cookies, necesito volver a iniciar sesión. Significa que Google guarda algunas claves de autenticación en cookies que nunca caducan o en 2 o 3 años a partir de ahora.

He oído que las cookies se pueden copiar y pegar. De esta manera, si alguien tiene acceso a las cookies, puede acceder a su cuenta. Por lo tanto, el servidor debe mantener el tiempo de caducidad más corto (probablemente un máximo de días).

  • ¿Mi conocimiento sobre cómo guardar la información de autenticación en las cookies es correcto?
  • En caso negativo, ¿qué enfoque utilizan para guardar la información de autenticación en el navegador?
  • En caso afirmativo, ¿cómo evitan que alguien copie las cookies o, en su lugar, utilice las cookies copiadas?
pregunta Amit Kumar Gupta 03.10.2018 - 09:30
fuente

1 respuesta

1

Sí, es correcto que los tokens de autenticación, como los identificadores de sesión, a menudo se almacenan en cookies. Algunas veces se usa almacenamiento local en lugar de cookies, pero eso tiene básicamente las mismas implicaciones de seguridad.

Hay algunas cosas que lo hacen más seguro de lo que puede sonar al principio:

  • Al menos algunos navegadores en algunos sistemas cifran las cookies . (Esto no protegerá contra un atacante que tenga acceso a su sistema en un estado de inicio de sesión, pero es algo).
  • Es probable que Google implemente algún tipo de control de validez cada vez que se use un token de autenticación, como verificar algún tipo de huella digital del navegador o la geolocalización de la IP.
  • Finalmente, un atacante que tiene acceso a tu computadora para que pueda leer tus cookies de todas formas ha ganado. En tal situación, el robo de cookies es solo uno de los muchos problemas que tiene.

Al final, elegir un tiempo de caducidad es una compensación de seguridad frente a usabilidad. Es una cuestión de opinión, pero no creo que la elección de Google sea irrazonable.

    
respondido por el Anders 03.10.2018 - 15:27
fuente

Lea otras preguntas en las etiquetas

Cómo evitar que los participantes hagan trampas al establecer una estructura similar a OpenPGP ¿Consecuencias de seguridad de una base de datos de acceso público?