¿Tiene sentido una cookie de sesión única?

Navega tus respuestas
0

Recientemente me he encontrado con un sitio que parece implementar algo que podemos llamar "cookie de una sola vez". Esta cookie se utiliza para el inicio de sesión único entre diferentes sitios.

En cada solicitud, el servidor envía un conjunto de cookies que configura una nueva cookie de sesión que utiliza el navegador en la próxima solicitud ... Este mecanismo debe reducir el riesgo de robo de cookies . Supongo que no protege completamente el robo de cookies porque si robas la cookie antes de que el usuario la use, puedes usarla una vez y obtener el nuevo conjunto de cookies ... pero es más difícil para un atacante usarla .

¿Tiene sentido? ¿Es un mecanismo válido para evitar el robo de cookies?

    
pregunta kinunt 05.05.2014 - 12:30
fuente

3 respuestas

1

Hace unos años, había un artículo llamado "Cookies de una sola vez: Prevención de ataques de secuestro de sesión con tokens de autenticación sin estado", pero esa implementación usaba encabezados de extensión HTTP X-OTC y tenía muchos criptográficos bajo el capó. Sin embargo, lo que estás viendo suena como algo diferente.

enlace

    
respondido por el bradreaves 05.05.2014 - 16:01
fuente
0

No evitará el robo, pero cambiar la cookie significa que si una cookie es robada, el usuario se da cuenta rápidamente y puede iniciar sesión nuevamente (lo que probablemente invalidará su otra sesión).

Si no puedes evitar que ocurra algo, lo mejor que puedes hacer es aumentar la capacidad de detectarlo rápidamente. No servirá de nada si la cookie es robada cuando el usuario termina su sesión, pero es mejor que nada.

    
respondido por el AJ Henderson 05.05.2014 - 16:23
fuente
0

Sí, tiene sentido. La idea de las cookies de una sola vez es evitar ataques como el secuestro de sesiones.

Por ejemplo, este documento (@ bgt421 señaló este documento en otra respuesta) implementa cookies de una sola vez firmando cada solicitud de usuario con un secreto de sesión almacenado de forma segura en el navegador.

De hecho, el documento anterior defiende que sus cookies OTC no son vulnerables a una serie de amenazas:

Parece que el principal problema de estos mecanismos es que requieren muchos recursos para mantener la sincronización de estado en la aplicación web.

    
respondido por el kinunt 05.05.2014 - 17:25
fuente

Lea otras preguntas en las etiquetas

Cómo hacer el paso Rijndael MixColumns ¿Existe un proveedor de DNS seguro? [cerrado]