Cookie bezpośrednio

pytanie zadane 3 października 2019 w Bezpieczeństwo, hacking przez michal_php Stary wyjadacz (13,700 p.)

Cześć.

Mam pytanie jak wygląda sytuacja z trzymaniem jakiegoś np. Tokenu uwierzetelniajacego danego user na jego kompie. Zapisanego i przechowywanego w cookies. Jak to wygląda od strony bezpieczeństwa ze ja na swojej przeglądarce mam cookie z Tokenem, który mnie uwierzetelnia na stronie. Czy to będzie bezpieczne i czy sa jakieś metody aby to wykraść w sensie zawartość takiego cookie?

1 odpowiedź

odpowiedź 4 października 2019 przez Aisekai Nałogowiec (42,190 p.)

Odpowiedź jak zwykle: to zależy. Jeżeli nie potrzebujesz tego cookie wyciągać w JS, to możesz to zabezpieczyć korzystając z flagi HttpOnly i Secured. Jeżeli korzystasz z jakichś popularnych przeglądarek, to o ile nie ma jakichś luk to z poziomu JSa nie będziesz miał dostępu do nich (ale podczas wysyłania będą już wysyłane). Jeżeli potrzebujesz mieć dostęp do nich z JSa, to cookies będą narażone na XSS. Do tego najlepiek, jeżeli client będzie aplikacją przegladarkowa to możesz się włączyć zabezpieczenie przed CSRF.

Metody są, jeżeli nie masz HttpOnly, to atak XSS, jeżeli nie korzystasz z Https to wystarczy jakiś sniffer żeby wykrasc cookie.

Edit: z drugiej strony cookie ogranicza trochę skalowalnosc systemu. Tutaj by trzeba było wziąć pod uwagę za i przeciw. Czy ważniejsza jest wydajność czy bezpieczeństwo?

komentarz 4 października 2019 przez michal_php Stary wyjadacz (13,700 p.)

Ważniejsze jest bezpieczeństwo.

komentarz 4 października 2019 przez Aisekai Nałogowiec (42,190 p.)

To w takim razie użył vym HttpOnly, Secured i dodatkową ochronę przed CSRF. Tylko pamiętaj wtedy o https.

komentarz 4 października 2019 przez michal_php Stary wyjadacz (13,700 p.)

A mam jeszcze jedno pytanie jak mogę ustawić tą flagę w symfony przy tworzeniu cookies ?bo czytam ,ale nic takiego nie widzie.

komentarz 4 października 2019 przez Aisekai Nałogowiec (42,190 p.)

Nie wiem, nigdy w Symfony nie pisalem, ale pierwszy link z SO mówi, żeby w pliku konfiguracyjnym to ustawić :

https://stackoverflow.com/questions/51750185/how-to-set-secure-and-httponly-attributes-on-symfony-4-session

Tylko poszukalbym jeszcze dokładniej, bo nie wiem czy coś takiego Ci CSRF nie popsuje

komentarz 4 października 2019 przez michal_php Stary wyjadacz (13,700 p.)

Coś znalazłem jak ustawia się flagę przy tworzeniu Cookie w symfony. Jak by ktoś chwiał wiedzieć dale linka :

https://www.codeproject.com/Articles/1192645/Create-Symfony-Cookie-and-Set-HttpOnly-to-False

1	komentarz 4 października 2019 przez JakSky Stary wyjadacz (14,770 p.) @Aisekai, warto też pamiętać o dacie ważności. Tak aby ten token nie był ważny cały czas.