Есть ли решение для дыры в «Улучшенной стойкой регистрации Cookie Best Practice»?

Question

Исходная идея: В статье «Улучшенная постоянная практика использования печенья для входа в систему» ​​(http://jaspan.com/improved_persistent_login_cookie_best_practice) bjaspan предлагает умное средство поймать потенциального вора печенья, создав серийный идентификатор, который в ореховой оболочке позволяет проблема безопасности, если два компьютера пытаются использовать один и тот же идентификатор серии.

Проблема: Однако, как «The definitive guide to form-based website authentication» Часть II, пункт 1, справедливо указывает, что легко побеждены хакера просто удаление куки пользователя после его копирования сами за себя. Поскольку эта статья достаточно популярна, вполне вероятно, что любой, у кого достаточно знаний, чтобы украсть файл cookie, вероятно, будет известно, чтобы удалить старый.

Вопрос: Есть ли решение, которое бы преодолело это? Преимущество обнаружения кражи файлов cookie (даже если не сразу) довольно ценно для постоянной защиты входа в систему. Есть ли лучший способ предотвратить или обнаружить кражу печенья?

Answer 1

Вы должны использовать только ssl-соединения (https), и если вы используете файлы cookie, вам нужно использовать флаг Secure (для отправки его только с использованием ssl, избегающего атаки серфинга), а также использовать флаг HttpOnly (для избежания xss, браузер не даст его javascript), поскольку вы используете шифрование связи, злоумышленник не может его расшифровать и изменить (удалить файл cookie).

Answer 2

Мое личное мнение, что «Improved Persistent Login Cookie Best Practice» все еще лучше. Не всегда бывает, что злоумышленник имеет доступ к браузеру пользователя, чтобы удалить файл cookie во время кражи. Например, рассмотрим случай, когда злоумышленник получает cookie из журналов на стороне сервера.