Wiedergabe mit gespeicherten Sitzungscookies

Question

Ich habe einen kleinen Stichprobentest durchgeführt und festgestellt, dass fast alle getesteten Websites unter der Sicherheitslücke leiden, dass ich auf eingeschränkte Seiten (dh Seiten, die sich einloggen müssen) zugreifen kann, selbst nachdem ich mich vom Browser abgemeldet habe wenn ich die Cookies speichere, während ich noch angemeldet bin.

Der Test war ziemlich einfach. Ich spielte gerade eine Web-Anfrage in Fiddler nach Ich hatte aus dem Browser ausgeloggt. Zum Beispiel könnte ich mit outlook.com nach dem Abmelden die Seite, auf der das Adressbuch angezeigt wird, erneut abspielen und trotzdem die E-Mail-Adressen meiner Kontakte abrufen.

Darf ich wissen, was der Industriestandard diesbezüglich ist, da ich einen Kunden habe, der darauf beharrt, diese Sicherheitsanfälligkeit zu beheben, aber die Hardware-Spezifikationen nicht erhöhen möchte.

Answer 1

Ich bin mir nicht sicher, ob es einen Industriestandard gibt, aber es gibt Best Practices. Und die beste Vorgehensweise ist das Reinigen der Cookies und das Cookie-Management.

Sie sollten sich auch keine Gedanken über die Hardware machen müssen. Es ist eine einfache Suche, um zu sehen, ob ein Wert gültig ist. Wenn dies nicht der Fall ist, sollte der Sitzungsstatus nicht wiederhergestellt werden.

Wieder würde ich HttpOnly und eine sichere Flagge auf dem Cookie verwenden. Auf diese Weise wird die Anzahl der Wiederholungsangriffe weiter begrenzt. Stellen Sie bei der Wiederherstellung von Sitzungen sicher, dass Sitzungsdateien auf dem Server zerstört und nicht einfach verworfen werden.

Verlassene Sitzungen bedeuten, dass sie potenziell wiederbelebt werden können.

Hardware ist im Allgemeinen kein Problem mit diesem Problem. Wenn ja, dann schau dir deine Lösung an, da es vielleicht einen besseren Weg gibt.