Nieuws
image

Pas op waar je je cookies plaatst

maandag 28 juni 2004, 12:26 door Redactie, 10 reacties

Cookies worden voor veel doeleinden gebruikt, maar voornamelijk voor het opzetten van een Session ID (SID). Door het SID kan een individuele gebruiker via zijn interactie met de website geidentificeerd worden. Voor een website die authenticatie vereist, wordt de SID aan de gebruiker gegeven als die geauthenticeerd is en wordt zo de authenticatie status beheerd. Als een aanvaller via sniffing of cross site scripting toegang kan krijgen tot de SID, dan kan hij de identiteit van de gebruiker overnemen, zo waarschuwt dit artikel (PDF) dat beschrijft waar cookies het best geplaatst kunnen worden.

Reacties (10)
28-06-2004, 13:11 door Anoniem
wat een crap in die pdf, er staat niks in..
28-06-2004, 13:24 door Dr.NO
3. The Solution
Fortunately the solution to this issue is a straightforward
one. By simply specifying the cookie path argument
accurately, an application can take measures to protect
itself from flawed products that share the same hosting
environment.
pffffffffffffft, wat een amateur, die auteur. dit is maar
een heel klein deeloplossinkje, en door geen echte
beveiligingsmaatregelen te beschrijven, wordt een
schijnveiligheid gecreeerd.

wat ik doe is elke sessie statisch koppelen met het ip van
de client, referer check (ook maar een deeloplossinkje dat
uitermate simpel te omzeilen is) een md5 hashes als
sessionid te gebruiken (zodat mensen ze niet zo makkelijk
kunnen raden). verder moet je het verkeer uiteraard over SSL
laten lopen, om sniffen van session ids tegen te gaan.

Dr.NO
28-06-2004, 14:47 door Anoniem

wat ik doe is elke sessie statisch koppelen met het ip van
de client, referer check (ook maar een deeloplossinkje dat
uitermate simpel te omzeilen is) een md5 hashes als
sessionid te gebruiken (zodat mensen ze niet zo makkelijk
kunnen raden). verder moet je het verkeer uiteraard over SSL
laten lopen, om sniffen van session ids tegen te gaan.

Dit zijn allemaal serverside maatregelen die dus niet te
maken hebben met lokale diefstal van cookies, waar dit
artikel over gaat.
28-06-2004, 14:59 door Anoniem
Maar door de door dr No genoemde servermaatregelen wordt de
lokale diefstal van cookies wel tegengewerkt, want een
session id dat hard gebonden is aan een client IP is
lastiger te gebruiken vanaf een andere host dan een session
id die dat niet is.
28-06-2004, 15:32 door Anoniem
Door Anoniem
Maar door de door dr No genoemde servermaatregelen wordt de
lokale diefstal van cookies wel tegengewerkt, want een
session id dat hard gebonden is aan een client IP is
lastiger te gebruiken vanaf een andere host dan een session
id die dat niet is.

Helaas ook niet echt een oplossing aangezien gebruikers in binnen een
netwerk vanwege een router of HTTP proxy hetzelfde ip adres delen.
28-06-2004, 15:40 door Dr.NO
ja, ik weet ook dat mijn opmerkingen in principe buiten de
scope van dat white papertje vallen, maar de scope is dan
ook uitermate klein.

Als je session-cookies mbt veiligheid wilt bespreken, moet
je dat echt een stuk vollediger doen dan die oprichter van
Corsaire.
28-06-2004, 15:51 door Anoniem
Mijn browser lust geen cookies, overal vanaf.... oh ja shit
dan kan ik niet op de VPRO-site komen... pech voor de
VPRO.... ;)
28-06-2004, 15:51 door Dr.NO
Helaas ook niet echt een oplossing aangezien
gebruikers in binnen een netwerk vanwege een router of HTTP
proxy hetzelfde ip adres delen.
klopt, alhoewel proxies van ISPs iha via
HTTP_X_FORWARDED_FOR ook aangeven wat het echte IP van de
client is. maar idd, waterdicht is dat niet nee.

maar als er wat gebeurt, hoef je in eerste instantie niet
verder te kijken dan de mensen die jouw ip gebruiken.

ook handig is de Secure flag van het sid-cookie zetten (SSL
verplicht).
28-06-2004, 20:17 door Anoniem
Wat een stelletje pubers reageert hier!
29-06-2004, 08:06 door Anoniem
Door Anoniem
Wat een stelletje pubers reageert hier!
voel je je aangevallen ?
is er geen plugin voor firefox die de cookies encrypt?
fixen dan :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search