¿Debo pedirle a un usuario que vuelva a autenticarse si la huella digital del navegador cambia? ¿Hay una biblioteca del lado del servidor disponible?

10

¿Hay algún beneficio de seguridad al usar la huella digital del navegador además de un identificador de sesión para identificar una sesión única?

¿Sería recomendable pedirle al usuario que vuelva a autenticarse (o simplemente actualizar el token de la sesión) si la huella digital cambia?

Editar 1

  

¿Alguien conoce las implementaciones del lado del servidor (DLL) que puedo incorporar en mi propio proyecto?

Idealmente, me gustaría una versión compatible con C # ASP.NET MVC, pero la mantendré abierta para que otras plataformas también puedan beneficiarse.

Editar 2

Muchas de estas respuestas describen problemas con un aspecto particular de la huella digital (resolución de pantalla, etc.). Estos valores "inseguros" se pueden omitir de la huella digital de la sesión, o tal vez no sean un problema, dependiendo de cómo funcione la caducidad / renovación de la sesión.

También puede haber valores no presentes en el sitio web de panopticlick, que pueden ser beneficiosos para vincularse a la sesión también .

    
pregunta random65537 07.11.2011 - 16:22
fuente

3 respuestas

8

Muchas cosas en las que se define la huella digital pueden cambiar con bastante frecuencia. Por ejemplo, la lista de fuentes compatibles. Además, algunos navegadores implementan actualizaciones transparentes; Chrome es notorio por eso : algunas actualizaciones pueden aplicarse incluso sin necesidad de que el usuario para reiniciar su navegador web. Cualquier actualización de este tipo puede cambiar la huella digital.

Como usuario de un sitio "seguro" (es decir, un sitio donde existe una necesidad evidente de seguridad, como la banca en línea), cualquier "restablecimiento de seguridad" aparentemente espúreo me pondría nervioso y nervioso. No creo que poner nervioso a tu usuario sea algo bueno; Además, esto los capacitaría para volver a ingresar sus credenciales en momentos aleatorios, lo que está destinado a hacerlos descuidados y vulnerables al phishing.

Por lo tanto, le aconsejo a no que desactive una sesión debido a un cambio en la huella digital. De todos modos, si un atacante puede robar una sesión, es probable que también pueda imitar la huella del pulgar, por lo que la característica de seguridad prevista solo detectaría a los no atacantes, lo que es de una eficacia general cuestionable.

    
respondido por el Tom Leek 07.11.2011 - 21:10
fuente
4

Sí, hay un posible beneficio. Un cambio en la huella digital significa un posible cambio en la máquina que está accediendo al sitio. Ese es un síntoma de la conexión de sniffing / hijacking y el famoso FireSheep . El inconveniente es los falsos positivos que requieren que un usuario vuelva a iniciar sesión. Eso es molesto para el usuario si sucede mucho.

Es posible que desee filtrar los cambios comunes (actualizaciones menores del sistema operativo o del navegador, cambios en la resolución de la pantalla para los usuarios de computadoras portátiles que usan monitores), pero si las credenciales van de IE a Mozilla o Mac a Windows, probablemente valga la pena marcarlas.

Todavía hay un caso de ventaja para el usuario que camina con el perfil de su navegador en una unidad USB, pero ese es un caso de borde que probablemente ignoraría.

    
respondido por el Jeff Ferland 07.11.2011 - 17:18
fuente
4

No confiaría en las huellas digitales del navegador como un método de seguridad sólido; es solo seguridad por oscuridad (lo que puede ayudar a mantener a tu hermana pequeña fuera de tus datos; pero no mantendrá alejados a adversarios fuertes a los que solo será un poco molesto derrotar). Utilice SSL y cookies seguras.

Parece bastante trivial modificar un navegador web para modificar su huella digital para imitar la huella digital de otro navegador; por ejemplo, cambie la cadena de agente de usuario / zona horaria / tamaño de pantalla / etc.

No estoy seguro de que haya herramientas disponibles para falsificar listas de complementos / listas de fuentes del sistema, pero en principio esto no es difícil de falsificar y, como las huellas dactilares del navegador se realizan en JavaScript, no sería tan difícil descifrarlo. exactamente lo que está verificando y haciendo que su navegador personalizado reproduzca la configuración correcta desde el otro navegador.

    
respondido por el dr jimbob 07.11.2011 - 20:03
fuente

Lea otras preguntas en las etiquetas