【问题标题】:Developer tools able to set httponly cookies = security issue?能够设置 httponly cookie = 安全问题的开发工具?
【发布时间】:2012-07-01 16:25:41
【问题描述】:

最近我注意到可以通过 Firebug 更改设置为 httponly 的 cookie 的值。从我读到的 httponly 标志应该阻止任何类型的客户端脚本访问或更改此类 cookie 的值,在supporting browsers。但是,如果您将 cookie 创建为 httponly,然后使用带有新 Cookie 面板的 Firebug 1.10 Beta,您实际上可以更改此 cookie 的值。这意味着任何拦截请求或设法将间谍软件安装到反馈 cookie / 网站信息的用户计算机上的任何人都可以通过更改任何与会话相关的 cookie 以匹配原始用户的 cookie 来访问以用户身份登录的站点。

几个小时前我试图在Firebug Google group 上提出这个问题,但还没有被允许。有没有其他人认为这是 Firebug 的主要安全漏洞?它也可能存在于 Chrome 或 IE 开发工具中,但我没有检查过。

【问题讨论】:

    标签: cookies firebug security


    【解决方案1】:

    不,我不认为这是一个安全漏洞。

    与 Firefox UI 的其余部分一样,Firebug 运行在比网站 javascript 代码更高的权限上。因此它可以访问 cookie。

    另外,安装间谍软件或能够拦截请求的人无论如何已经赢了。这样的标志不会保护您免受Man-In-The-Middle (MITM) 攻击或浏览器外部间谍软件(可能只是读取浏览器的目录)。

    使用 https 可以减轻 MITM 的影响。

    【讨论】:

    • 您好乔纳斯,感谢您的回答。我知道这样的标志不会防止攻击 - 但它使它更容易。您所需要的只是一个间谍软件,您可以获取需要使用 Firebug 添加的 cookie 的名称/值。我只是有点担心它让它有点太容易了。我知道黑客可以使用许多其他技术,但我认为方法越少越好。
    • @ClarkeyBoy 我敢打赌,firebug 不会公开任何 Firefox 尚未公开的 API。所以间谍软件并没有因为安装了 Firebug 而变得更简单。再一次,一个间谍软件可以很容易地读取磁盘上的文件。现场 javascript 应该无法访问 Firebug 的 cookie API。如果情况不同,那当然是泄密了。
    • 好吧,我明白你的意思了——我没想到黑客有一个可以为他设置 cookie 的应用程序——我在想黑客自己手动更改 cookie,因为他们不一定知道名称,但现在我意识到他们只会使用自己的应用程序复制所有这些名称,而不管名称如何。感谢您的反馈。
    • 那么有什么办法可以解决这个问题吗?我们可以存储在数据库中的东西还是可以防止黑客复制并访问用户会话的东西?我知道 IP 是不可能的,因为这很容易被欺骗。我注意到在 Salesforce 上,他们已经设法实现了无法复制所有 cookie 并访问会话的目标,但我不知道他们是如何做到的。
    • @ClarkeyBoy 客户端上的任何东西基本上都不受您的控制。您可以尝试使用私钥对 cookie 内容进行加密签名,但我不确定这对您的情况是否有帮助。
    猜你喜欢
    • 1970-01-01
    • 2021-08-26
    • 1970-01-01
    • 2011-10-12
    • 1970-01-01
    • 2019-06-10
    • 2023-03-12
    • 1970-01-01
    相关资源
    最近更新 更多