¿Pregunta sobre las cookies de autenticación? [duplicar]

1

Supongamos que tengo un sitio web donde los usuarios deben iniciar sesión para acceder a ciertas funciones. Una vez que han iniciado sesión, se les emite una cookie de autenticación. Algunas de las páginas en la parte autenticada del sitio web utilizan una conexión segura, mientras que otras no.

¿Es posible que un hombre en el ataque central robe la cookie de autenticación, si el usuario llega a una página que no utiliza una conexión segura?

Básicamente, ¿siempre se debe usar una conexión segura al acceder a cualquier parte de un sitio web que requiera una cookie de autenticación?

    
pregunta Abe Miessler 25.07.2013 - 19:40
fuente

2 respuestas

4

Un " man in the middle ", por definición, ve todo el tráfico entre los dos Víctimas (cliente y servidor) y pueden alterarlo a voluntad. SSL (HTTPS) derrota a MitM, sujeto a las advertencias habituales (el cliente no debe confiar en una CA deshonesta, el usuario humano no debe hacer clic en las advertencias del navegador sobre un certificado de servidor no válido). Si un sitio es solo para HTTPS, entonces MitM no puede hacer nada. Si el sitio es solo de HTTP, entonces el MitM puede falsificar y falsificar y alterar e inspeccionar los datos a voluntad. Si el sitio es en parte HTTPS, entonces el atacante puede jugar con las partes que no son HTTPS.

Un valor de cookie es un valor enviado por el servidor, almacenado en el cliente, y el cliente lo envía de nuevo al servidor cada vez que habla con él. Si la cookie se marcó como "Secure" y "HttpOnly" , la cookie estará a salvo del MitM (en por lo menos, siempre que no se explote la vulnerabilidad del navegador): la cookie se enviará solo a través de HTTPS, y el navegador no lo hará accesible de otra manera (Javascript malicioso, inyectado en las partes que no son HTTPS del sitio, no podrá leer la cookie tampoco). Por supuesto, esto también significa que el servidor no recibirá la cookie como parte de las solicitudes que no son HTTPS.

Es difícil crear un sitio HTTP / HTTPS mixto que resista a los atacantes de MitM, porque luego necesitas algunas nociones muy claras de límites de seguridad; y el MitM está en buena posición para hacer mucho daño a través de las partes del sitio que no son HTTPS. Si bien las marcas "Seguro" y "HttpOnly" pueden mantener los valores de las cookies fuera del alcance del atacante, la seguridad del sitio web no se trata solo de cookies (los cookies son una herramienta, no un objetivo). Es mucho más simple y más seguro "morder la bala" e ir a HTTPS en todo el sitio.

    
respondido por el Tom Leek 25.07.2013 - 21:16
fuente
2

Sí, esto es posible. Si no se asegura de que sus cookies que contienen identificadores de sesión u otra información confidencial se transfieran a través de una conexión segura SSL, corre el riesgo de un MiTM. Así que sí, es obligatorio.

Sin embargo, hay una manera de forzar las cookies a través de una conexión SSL. Esto se puede hacer (consulte el manual del servidor web / lenguaje de programación que utiliza) agregando el indicador SECURE a todas sus cookies. Si se establece este indicador, el navegador del cliente no permitirá que la cookie se envíe a través de una conexión no segura.

Consulte OWASP - SecureFlag para obtener más información.

    
respondido por el Lucas Kauffman 25.07.2013 - 19:59
fuente

Lea otras preguntas en las etiquetas