¿Cómo implementar el etiquetado de la máquina cuando se le permite a un usuario "recordarme" en la aplicación web? [duplicar]

Question

¿Cómo implementar el etiquetado de la máquina cuando se le permite a un usuario "recordarme" en la aplicación web? [duplicar]

#1 de AndrolGenhald (1 votos)

0

La cookie recordarme también debe identificar la máquina. Entonces, al implementar el etiquetado de la máquina, evitaremos una situación en la que un atacante intente iniciar sesión con la cookie del usuario desde otra máquina. El significado, al crear un mecanismo de etiquetado de la máquina para recordarme, debe invalidar el inicio de sesión asociado con una cookie en una máquina diferente.

¿Cuál es la mejor manera de implementar el etiquetado de la máquina cuando se permite que un usuario "me recuerde"?

Además, ¿qué información usarías precisamente para etiquetar en la máquina? Supongo que no es suficiente que esta información sea única; también tiene que ser indiscutible para un adversario,

Esta pregunta no se refiere a comprender la mejor manera de asegurar la sesión, sino a la retención a largo plazo / persistente con parámetros de identificación de los caracteres de la máquina del usuario.

authentication appsec cookies session-management

pregunta SecQuestionnA 22.08.2018 - 12:23

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication appsec cookies session-management

¿Tiene Wazuh capacidades para manejar virus / malware / rootkit? Si es así, ¿cómo? No estoy seguro de si este sitio web es inyectable de SQL

score 1 · Answer 1

El problema con pedirle a una máquina que se identifique es que puede mentir . Si un atacante puede robar una cookie, es muy probable que también puedan descubrir cualquier información necesaria para hacerse pasar por esa máquina.

La única excepción (parcial) a esto son las direcciones IP, pero cuando vinculas una cookie a una dirección IP, corres el riesgo de molestar a los usuarios cuando cambian sus direcciones IP. Desafortunadamente, el cambio de direcciones IP es bastante común en los teléfonos inteligentes o portátiles, e incluso puede ocurrir con frecuencia en una computadora de escritorio, según el ISP. Las direcciones IP también pueden ser compartidas por varios usuarios, por lo que esta solución no es 100% efectiva. Esta es una compensación entre usabilidad y seguridad, por lo que la decisión dependerá de la aplicación.

En la mayoría de los casos, una cookie con las banderas Secure y HttpOnly es suficiente.