Безопасный куки - Secure cookie

Безопасные куки являются разновидностью HTTP cookie с установленным атрибутом Secure, который ограничивает область cookie "безопасными" каналами (где "безопасный" определяется пользовательским агентом, обычно веб-браузер ).[1] Если файл cookie имеет атрибут Secure, пользовательский агент будет включать файл cookie в HTTP-запрос, только если запрос передается по безопасному каналу (обычно HTTPS).[1] Атрибут Secure, который кажется полезным для защиты файлов cookie от активных сетевых злоумышленников, защищает только конфиденциальность файлов cookie. Активный сетевой злоумышленник может перезаписать защищенные файлы cookie из незащищенного канала, нарушив их целостность. Эта проблема официально называется «Слабая целостность».[1] Однако некоторые браузеры, включая Chrome 52 и выше и Firefox 52 и выше, отказываются от этой спецификации в пользу большей безопасности и запрещают небезопасные сайты (HTTP ) от установки файлов cookie с помощью Безопасный директива.[2]

Даже с Безопасный, конфиденциальная информация должна никогда храниться в файлах cookie, поскольку они по своей сути небезопасны, и этот флаг не может обеспечить реальной защиты.[2] Атрибут Secure - не единственный механизм защиты файлов cookie. HttpOnly и SameSite атрибуты. Атрибут HttpOnly ограничивает доступ к cookie, например, JavaScript, в то время как SameSite Атрибут позволяет отправлять cookie в приложение только в том случае, если запрос исходит из того же домена.

Фон

An HTTP cookie это небольшой пакет данных[3] который отправляется с веб-сервера пользователю веб-браузер. Есть два типа файлов cookie:

  • Постоянные куки - Файлы cookie, которые длительное время хранят информацию в браузере пользователя.
  • Непостоянные файлы cookie - Файлы cookie, срок действия которых обычно истекает после закрытия браузера.

Файлы cookie могут содержать конфиденциальную информацию, такую ​​как пароли и номера кредитных карт, которые отправляются через HTTP-соединение и могут храниться в веб-браузерах как простой текст. Чтобы предотвратить кражу этой информации злоумышленниками, файлы cookie могут быть защищены с помощью атрибутов.

Кража и захват файлов cookie

Существуют различные методы захвата файлов cookie.[4] Все методы несложны в реализации и могут нанести значительный ущерб пользователю или организации. Файлы cookie, содержащие конфиденциальную информацию, такую ​​как имена пользователей, пароли и идентификаторы сеансов, могут быть захвачены с помощью этих инструментов после их загрузки с сайта в веб-браузер или доступа через жесткий диск компьютера.[5]

Сетевые угрозы

Файлы cookie, отправляемые по незашифрованным каналам, могут быть подслушивание, т.е. содержимое cookie может быть прочитано злоумышленником. Эти типы угроз можно предотвратить, используя Уровень защищенных гнезд или протокол SSL на серверах и в интернет-браузерах, хотя это работает, только если файлы cookie находятся в сети.[6] Можно также использовать файлы cookie с зашифрованной только конфиденциальной информацией вместо всего обмена полезными данными.[7]

Конечные системные угрозы

Файлы cookie могут быть украдены или скопированы у пользователя, что может раскрыть информацию в файлах cookie или позволить злоумышленнику редактировать содержимое файлов cookie и выдавать себя за пользователей. Это происходит, когда файл cookie, который находится в конечной системе браузера и хранится на локальном диске или в памяти в виде открытого текста, изменяется или копируется с одного компьютера на другой с ведома пользователя или без него.[6]

Сбор печенья

Злоумышленник может попытаться выдать себя за веб-сайт, приняв файлы cookie от пользователей. Как только злоумышленник получает файлы cookie, он может использовать эти собранные файлы cookie для веб-сайтов, которые принимают сторонние файлы cookie. Примером этой угрозы является так называемая атака с межсайтовым скриптингом, которая включает в себя использование уязвимостей веб-сайта, отображающего данные, предоставленные пользователем, который имеет злонамеренный умысел.[8] Злоумышленник, например, может встроить сценарий в URL-адрес, который он разместил на форуме обсуждения, доске сообщений или электронной почте, который затем активируется, когда цель открывает гиперссылку.[8]

Смотрите также

Рекомендации

  1. ^ а б c Барт, А. (апрель 2011 г.). «RFC 6265 - механизм управления состоянием HTTP». IETF RFC.
  2. ^ а б «HTTP cookie». Веб-документы MDN. Получено 2018-10-06.
  3. ^ Борц, Эндрю; Барт, Адам; Ческис, Алексей. «Файлы cookie Origin: целостность сеанса для веб-приложений» (PDF). В архиве (PDF) из оригинала на 2018-05-13. Получено 2018-05-13.
  4. ^ Чжэн, Сяофэн; Цзян, Цзянь; Лян, Цзиньцзинь; Дуань, Хайсинь; Чен, Шуо; Ван, Тао; Уивер, Николас (2016-08-12). «Недостаточная целостность файлов cookie: последствия для реального мира» (PDF). Материалы 24-го симпозиума по безопасности USENIX. ISBN  978-1-931971-232. В архиве (PDF) из оригинала на 2018-05-13. Получено 2018-05-13.
  5. ^ Дубравский, Идо (2009). CompTIA Security + Certification Study Guide: Экзамен SY0-201 3E. Берлингтон, Массачусетс: Syngress. п. 105. ISBN  9781597494267.
  6. ^ а б Атлури, Виджай; Хейл, Джон (2013). Достижения исследований в области безопасности баз данных и информационных систем. Берлин: Springer Science + Business Media, LLC. стр.52. ISBN  9781475764116.
  7. ^ Бенантар, Мессауд (2006). Системы контроля доступа: модели безопасности, управления идентификацией и доверия. Гейдельберг: Springer Science + Business Media. стр.127. ISBN  9780387004457.
  8. ^ а б Jajodia, Сушил; Виджезекера, Думинда (2005). Безопасность данных и приложений XIX. Берлин: Springer Science & Business Media. стр.317. ISBN  9783540281382.

внешняя ссылка