防止 cookie 重播/cookie 被多个客户端使用

Question

在 ASP.NET MVC 中，防止一个有效 cookie 一次被多个客户端使用的“最佳实践”是什么？

在这种情况下，我们使用了所有 OWASP 技巧。

• 严格的 HSTS：每个页面都使用 HTTPS/SSL
• Cookie 被列为仅限 HTTPS
• Cookie 被标记为安全
• Cookie 的有效期很短
• 还有防止跨站点请求伪造 (XSRF) 逐页更改值的代码。

这一切都很好，可以防止用户更改值，但它并不能阻止不良行为者窃取整个 cookie 并在其他地方重新使用它仍然有效 strong>（“cookie 重放”或“会话固定”，取决于您询问的对象）。据我所知，没有标准的 .NET 配置或样板文件可以防止这种情况发生。

例如，用户 A 登录后，他们的身份验证 cookie 的有效时间为 t 分钟。该用户 PC 上的恶意软件会忽略 cookie 上的仅 HTTP/安全设置，并能够检索实际存储的 cookie，并将其发送给我们的坏人。然后，不良行为者可以使用 cookie 编辑工具将其添加到他们的浏览器并以用户 A 的身份连接到站点，直到 cookie 过期或用户 A 退出（使会话无效）。

理想情况下，是否可以将 .NET 配置为，如果发现两个客户端同时使用 cookie，则会话无效？

已审核的类似项目：

哦，S.O.社区，我们知道您有多喜欢“重复”。

• Asp.net - Using SSL to prevent cookie replay attack：SSL 不会阻止 cookie 重放，只会在传输过程中被篡改。
• Prevent re-use of authentication cookie in ASP.NET：特定于用户注销后的cookie使用；在这里，当坏人有访问权限时，用户仍处于登录状态。
• ASP.NET cookie replay fix without storing auth-token in server?：具体要求不在服务器上存储令牌，我不会排除作为答案

外部修复建议：

• This page 建议在用户登录时设置一个 bool 值 server-side 。错误 - 这只会阻止不良行为者在预期用户注销后使用 cookie。它无法阻止不良行为者与目标用户同时四处闲逛。
• This page on StackExchange 采用相同的方法，设置会话值。它也有同样的问题。
• 即使是Troy Hunt's oft-cited OWASP top 10 常见的安全修复程序也可以帮助您保护 cookie，但没有展示防止同时使用有效 cookie 的方法。

Answer 1

如果你的目标是

防止不良行为者窃取整个 cookie 并重新使用它 在其他地方仍然有效

那么答案是否定的。没有办法。

您从 http 请求中获得的信息量大致如下：

1. 用户的 IP
2. 标头（cookie、用户代理等）
3. 请求正文
4. 目标 IP（您的服务器的 IP）
5. 网址

由于手头的信息量有限，您真的无法区分使用相同 cookie + 浏览器 + IP 的两个用户。

就好像两个人使用同一台打印机打印了同一条消息，而您的任务是弄清楚哪条消息是由谁打印的。

您可以做的最好的事情是每次用户想要执行任何敏感操作时都要求输入密码并为其分配一次性令牌。 （不友好）

或者您可以通过仅在新 IP 与登录 IP 不匹配时才需要它来使其更友好。 （对移动用户不友好，因为他们的 IP 几乎一直在变化）

Answer 2

理想情况下，是否可以将 .NET 配置为，如果发现两个客户端同时使用 cookie，则会话无效？

我不确定您是否知道这个问题有多模棱两可——特别是“同时”的概念。 Cookie 与每个对象的 HTTP 请求一起提交。如果您加载一个页面，cookie 将与对该页面的请求、其所有样式表、所有脚本和所有图像一起发送。因此，您当然绝对不想阻止“同时”使用 cookie。

我认为您可能对将 cookie 绑定到特定客户端端点感兴趣，例如浏览器的可见 IP 地址。答案很简单：在 cookie 中嵌入 IP 地址。假设你已经让你的 cookie 防篡改，服务器只需要在验证 cookie 的同时检查它。

例如，用户 A 登录并且他们的身份验证 cookie 有效 t 分钟。该用户 PC 上的恶意软件....

句号。地球上没有安全机制可以防止合法用户机器上的恶意软件，期间。当然，除了反恶意软件。