¿Se pueden robar "físicamente" las cookies del navegador?

8

¿Puede alguien con acceso físico a una computadora de destino robar las cookies del navegador web y configurar una sesión autenticada fraudulenta más tarde?

    
pregunta Andrada2 20.04.2018 - 05:02
fuente

1 respuesta

9

Sí, pero las implicaciones exactas dependen de las técnicas de autenticación utilizadas por el sitio web que establece las cookies. Por ejemplo, algunos sitios web pueden tener tiempos de expiración particularmente cortos para sus cookies, o el sitio web puede realizar comprobaciones adicionales (por ejemplo, la dirección IP o el agente de usuario del navegador) antes de permitir que continúe la autenticación. En general, el secuestro de sesiones requiere algunas cosas:

  • Las cookies no deben haber llegado naturalmente a su fecha de caducidad.

  • Las cookies solo deben ser suficientes para autenticar la sesión (sin certificados TLS, etc.).

  • El usuario no debe haber cerrado sesión (lo que invalidaría las cookies).

Algunos sitios especialmente mal diseñados no invalidarán las cookies del servidor cuando el usuario cierre la sesión o cuando las cookies lleguen a su fecha de caducidad. Estos sitios web se basan totalmente en el navegador y son muy fáciles de secuestrar una vez que tiene las cookies. Un sitio web bien diseñado hará un seguimiento de la validez de las cookies independientemente de la fecha de caducidad establecida en la cookie, y debería rechazar inmediatamente cualquier cookie de autenticación después de que el usuario cierre la sesión.

    
respondido por el forest 20.04.2018 - 05:10
fuente

Lea otras preguntas en las etiquetas