Un protocolo de cookie seguro

6

Como dice el título, estoy intentando implementar un protocolo seguro de cookies

HMAC(username|expiration name|data|session key, sk)

Parece que la clave de sesión no es constante durante toda la vida de la sesión de la aplicación. Ahora no estoy seguro de con qué reemplazarlo, alguien me sugirió usar el agente del navegador, pero no parece ser único o demasiado difícil de producir, ¿alguien tiene alguna sugerencia?

También me pregunto dónde debo almacenar la clave del servidor. (Codifíquelo en el código fuente, ¿o hay una solución de mezcla?)

    
pregunta F.T 20.09.2012 - 01:05
fuente

1 respuesta

4

La implementación de esta sesión no hace nada para abordar OWASP a9 . En resumen es vulnerable a un ataque de repetición. Entonces, si un pirata informático está olfateando la red o tiene una vulnerabilidad XSS en su sitio, entonces puede copiar este valor y usarlo.

Debes usar la menor criptografía posible. La criptografía es difícil, agrega complejidad y cuando falla, puede ser desastrosa.

Una cookie debe ser un nonce criptográfico grande y un estado del lado del servidor de referencia. Debe transmitir este archivo criptográfico como una cookie con todos los indicadores de seguridad habilitados (httponly, Secure, and scope).

En una nota al margen, autenticación RESTful de Amazon AWS no está mal.

    
respondido por el rook 20.09.2012 - 02:04
fuente

Lea otras preguntas en las etiquetas