Implicaciones de seguridad del uso de cookies de autenticación de larga duración

1

Estoy tratando de encontrar información sobre los posibles riesgos de seguridad al permitir cookies de larga duración para la autenticación del sitio web.

Inicialmente, se configuró para que no persistiera la sesión de inicio de sesión, por lo que solo duraría hasta que se cerrara el navegador. Sin embargo, recientemente lo hemos cambiado para que persista durante un par de semanas.

Puedo ver cómo sería conveniente que los usuarios no tengan que volver a autenticarse con frecuencia, pero ¿hay problemas de seguridad fundamentales con la duración de las sesiones por un par de meses en lugar de semanas? ¿Una mayor caducidad de una cookie aumenta las posibilidades de que se vea comprometida de alguna manera?

    
pregunta user1751825 17.08.2018 - 08:41
fuente

1 respuesta

0

Al limitar el tiempo que una cookie de autenticación es válida, también está limitando el tiempo que un atacante tiene acceso a una cuenta si logra robar dicha cookie (dado que no hay otras contramedidas en su lugar).

También limita la cantidad de tiempo que una persona no autorizada puede acceder a dicha cuenta, por ejemplo. un sistema compartido en caso de que la víctima olvidara cerrar sesión.

Entonces, si hay contramedidas adecuadas contra el secuestro de la sesión y ataques similares, no deberían Sé un problema.

    
respondido por el SeeYouInDisneyland 17.08.2018 - 08:57
fuente

Lea otras preguntas en las etiquetas