【问题标题】:Evercookie for longterm sessions and session hijack preventionEvercookie 用于长期会话和会话劫持预防
【发布时间】:2015-04-21 02:12:38
【问题描述】:

我正在实施绑定到特定桌面的课堂签到系统。不幸的是,我所拥有的只是一个面向公众的网络服务器,并且不希望学生能够复制检查 url 并伪造签到,或使用员工凭据登录并访问网站上的其他工具。此外,计算机位于网络上,它们 DHCP 会定期重新分配 ip,因此固定在 IP 上并不是客户端验证的可靠方法。所以我在想evercookies,我可以让工作人员从计算机登录签入网站设置一个evercookie然后注销,以防止使用lat登录访问网站上的其他工具。当签入站点加载时,它会检查 evercookie,只要满足某个阈值,就会显示签入页面。这具有绕过 php/apache 的会话超时的额外好处。

还是我找错了树,有更好的方法来指纹识别授权客户?

【问题讨论】:

  • 除非您的连接是安全的 (HTTPS),否则 evercookie 仍然会在网络上可见,并且可以被劫持。您的连接安全吗?
  • 没有 SSL,桌面本身不安全(图书馆/实验室)。

标签: php session session-timeout evercookie


【解决方案1】:

依赖 evercookie 会使您容易遭受 cookie 劫持。

在您的情况下,有人可能会窃取 evercookie id,并从另一台机器上使用它,从而使您的应用程序相信它正在接收来自某个特定桌面的请求,而实际上并非如此。 evercookie id 可能会被老练的用户直接从机器上窃取。

在这种情况下,使用强 cookie id、强哈希、大量熵等都无济于事。

更改 evercookie 标识符通常会使任何先前被盗的 cookie 无效。但是,这将需要有人手动干预以定期重新生成 cookie。这可以是自动化的,并且更新的 cookie ID 可以通过安全连接与自定义软件一起推送到您的服务器,但这会增加软件被盗并在另一台机器上使用的可能性。

根据经验,依靠客户端来唯一标识自己是不可靠的。

如果您的 IP 地址是通过 DHCP 分配的,但来自某个可预测的集合,您可以根据已知的 IP 范围实施 IP 检查。

您可以在机器上部署自定义软件并从服务器“握手”到它。它可以根据硬盘驱动器序列号、MAC 地址等生成唯一 ID。但是,您的自定义软件可能会被老练的用户窃取并安装在其他地方,或者进行逆向工程。

【讨论】:

  • 但是 evercookies 不使用标准会话 cookie id,而是设置范围广泛的标识符(页面历史记录、flash cookie 等),这不会让在另一台机器上复制它们变得困难吗?
  • 也许很难,不可能。这是“通过默默无闻的安全”。 en.wikipedia.org/wiki/Security_through_obscurity
猜你喜欢
  • 2012-08-27
  • 1970-01-01
  • 2012-05-19
  • 2012-01-15
  • 1970-01-01
  • 2012-02-20
  • 2017-12-22
  • 2010-11-28
相关资源
最近更新 更多