El propósito del paquete securecookie de gorila

0

No entiendo el propósito del paquete de seguridad de gorila. enlace . Puedo ver que se está utilizando obtener el valor de la cookie en el servidor según el ID de sesión almacenado en el algoritmo de cookie y hashing y los par de llaves. enlace

Entonces, si entiendo correctamente, esto solo protege los datos de la sesión cuando un atacante se ha hecho cargo de la casilla. Porque tendrá problemas para obtener el valor de la sesión con la identificación de la sesión de todos los usuarios. Pero aún así, si se ha hecho cargo de la caja, puede obtener todo lo que quiere, por lo que en realidad no está protegido.

Del mismo modo, este tipo de protección no puede proteger del ataque del hombre medio. Si trata de proteger el ataque del hombre medio, el indicador de seguridad y https es el camino a seguir. ¿Estoy en lo correcto?

    
pregunta nXqd 21.04.2015 - 10:09
fuente

1 respuesta

2

Esto parece proporcionar una función similar a la de Tokens web JSON (JWT) . es decir, un token de identidad basada en reclamaciones .

Le permitirá a su aplicación web establecer valores de cookies y garantizar la integridad de los valores cuando se reciban en solicitudes futuras.

Además de las comprobaciones de integridad, Securecookie también parece permitir el cifrado de la confidencialidad.

Lo que esto significa

En esencia, permite que su aplicación establezca valores y los almacene en una cookie del lado del cliente que el usuario final no puede modificar, con un paso opcional de cifrado para evitar también la lectura del valor.

Por lo tanto, podría estar almacenando que el usuario ha iniciado sesión como administrador. Normalmente, si almacena User=administrator en una cookie, esto podría ser manipulado por un usuario malicioso que tiene la cookie en su propia máquina. Sin embargo, si utiliza Securecookie, puede proteger este valor con un hash criptográficamente seguro. Por lo general, el valor de hash incluye una fecha y hora de vencimiento para evitar que un usuario almacene el valor de la cookie y luego la use más adelante (por ejemplo, cuando no tienen acceso de administrador).

No protege contra los ataques Man-in-the-Middle ni de los atacantes que han tomado el control del cuadro. Simplemente permite que los datos sobre el usuario actual (la reclamación) se almacenen del lado del cliente.

    
respondido por el SilverlightFox 22.04.2015 - 11:48
fuente

Lea otras preguntas en las etiquetas