¿Deben expirar las cookies?

Navega tus respuestas
1

Digamos que tengo una cuenta en un blog. Estoy usando https en todas las páginas de ese blog a través de las reglas del servidor web, por lo que no hay forma de visitar la página con el texto claro. También estoy usando una computadora portátil que utiliza cifrado de disco completo, y yo soy el que usa la máquina. Además, tengo contraseñas generadas automáticamente de 128 bits para cada sitio en Internet, y cada una de las contraseñas es diferente. También almaceno las contraseñas en un conjunto de claves cifradas, en caso de que las necesite, pero generalmente no las uso por las cookies. Y aquí está el problema. La mayoría de los sitios de Internet (especialmente los de WordPress) tienen una política extraña con respecto a las cookies. En el caso de WordPress, el tiempo de caducidad predeterminado de la cookie se establece en 2 días. Si marcó la opción "Recordar", eso sería 14 días. Así que de vez en cuando tienes que iniciar sesión, te guste o no.

¿Es esto necesario? Quiero decir, ¿qué pasaría si las cookies no tienen un tiempo de caducidad establecido? ¿Hay alguna manera de armarlos de alguna manera? Si tiene todo el sitio cifrado y nadie puede acceder a su máquina, ¿debería preocuparse por las cookies que se envían a través de Internet? Nunca me han pedido, por ejemplo, una contraseña de google mientras revisaba mis correos electrónicos.

    
pregunta Mikhail Morfikov 06.06.2015 - 18:17
fuente

1 respuesta

2

En primer lugar, su conexión a un sitio web encriptado no significa necesariamente que su conexión sea realmente segura. Sin duda ayuda, pero el cifrado puede diferir enormemente en calidad. Es posible que haya escuchado sobre POODLE , así como también sobre FREAK . Errores y efectos secundarios como estos podrían significar que un atacante suficientemente poderoso podría romper el SSL. Y eso ni siquiera incluye la posibilidad de que una CA haya sido comprometida, como sucedió con Diginotar . Y, por supuesto, el sitio web en sí podría verse comprometido, con un trozo de Javascript que roba sus cookies e incluso sus credenciales, como el gobierno tunecino hizo con Facebook .

Supongamos que el atacante tiene su cookie. El servidor realmente usa esa cookie para saber quién eres, porque esa es la única forma en que puede saberlo. Las direcciones IP pueden cambiar y no son lo suficientemente únicas. El rastreo del navegador es complicado y puede interrumpirse cuando haces algo como parchar Chrome (tal vez para tratar un error en TLS). Las huellas de hardware son difíciles de adquirir y tampoco son lo suficientemente únicas. Así que la única forma es tener un archivo pequeño en su computadora que le diga al servidor quién es usted. Entonces, si alguien sabe qué hay en ese archivo, pueden usarlo para iniciar sesión como usted.

Puedes probarlo tú mismo. Abra su consola de desarrollo, encuentre su lista de cookies en este sitio web, abra una pestaña de incógnito a este sitio web y edite las cookies con una extensión. Una vez que actualice la página, iniciará sesión en el sitio web sin ingresar sus credenciales. Hace unos años, había una herramienta llamada Firesheep que podía rastrear conexiones que no eran TLS que otras personas hacían en un wifi público (por ejemplo, un Starbucks) y hacerse pasar por ellas. Incluso ahora, puedes comprar una herramienta especial llamada Piña por 100 EUR, engañar a la gente para que se conecte a tu wifi y robar sus datos.

    
respondido por el Nzall 06.06.2015 - 18:57
fuente

Lea otras preguntas en las etiquetas

¿Cómo simular ataques a la red y usar wireshark para detectarlos? [cerrado] PCI-DSS, ¿cuál es la mejor distribución? [cerrado]