¿Las cookies transitorias para la administración de sesiones no aumentan la efectividad de MITM?

0

Según wikipedia , una cookie transitoria (también conocida como cookie de sesión, cookie en memoria) se olvida cuando El usuario cierra el navegador. Estos también se recomiendan para las cookies de sesión en OWASP .

He visto muchos sitios que recomiendan que cierre la ventana de su navegador para cerrar sesión (eliminando así esta cookie), pero eso no anularía el estado de inicio de sesión en el lado del servidor. Si los usuarios no hacen clic explícitamente en el botón de cerrar sesión (en su lugar, simplemente cierran la ventana del navegador), un hombre en el centro podría atrapar y reutilizar esa sesión incluso después de que el usuario original cerró la ventana del navegador (y pensó que se desconectó) ).

¿Eso no significaría también que el uso de cookies transitorias para la administración de la sesión podría enseñar a los usuarios que no necesitan cerrar sesión explícitamente y, por lo tanto, aumentar la efectividad potencial de un MITM? Si el usuario volvió a abrir el navegador y descubrió que aún está conectado, les enseñará que solo una acción explícita de cierre de sesión los cerrará.

Entonces, ¿debo evitar el uso de cookies transitorias para la administración de sesiones por este motivo?

    
pregunta olemartinorg 04.03.2014 - 14:43
fuente

1 respuesta

0

Las cookies transitorias solo son seguras si se tratan de la misma manera que las credenciales de inicio de sesión. Usados correctamente, solo deben intercambiarse a través de una conexión HTTPS y la cookie debe estar marcada para que solo esté disponible para una conexión HTTPS. Esto protege la cookie de un ataque MITM.

La cookie es en realidad una copia a corto plazo del nombre de usuario y la contraseña, por lo que debe otorgarle el mismo tipo de protección o se volverá insegura.

Si la conexión no está protegida con HTTPS, entonces no importa si el MITM captura la cookie o simplemente intercepta la solicitud para cerrar sesión. Si el atacante controla lo que puede y no puede decirle al servidor, no tiene suerte. Puede que sea un poco para un atacante pasivo que no puede alterar el tráfico, pero la sesión también debe estar bloqueada a la IP, por lo que solo un atacante MITM activo debería poder hacer uso de la cookie y también evitar el cierre de sesión.

    
respondido por el AJ Henderson 04.03.2014 - 15:14
fuente

Lea otras preguntas en las etiquetas