Wie schützen Sie die session-id und cookies ohne SSL/HTTPS?

Als für wie ich Sie verstehe, wenn ich nicht die Verwendung von SSL/HTTPS, cookies und session-ids die Reise als Klartext über die Leitung. Ein attacher verwenden können, packet sniffer, um zu bekommen seine hand auf diese. Wie kann ich mich schützen, dies ohne Verwendung von SSL/HTTPS? Ich vermute, dass die Lösung darin besteht, etwas zu tun, sowohl auf der client-Seite und server-Seite zu kümmern. Mein server-Seite Java.

InformationsquelleAutor ace | 2011-03-28
  1. 8

    Können Sie so etwas wie die Secure Cookie Protocol (PDF) zum verschlüsseln der cookies vor dem versenden. Anstatt die session-id, können Sie mit der angeforderten IP-Adresse, oder einen anderen Bezeichner, der 100% spezifisch für die Benutzer im Allgemeinen.

    So, um es einzurichten, Sie würde erstellen Sie einen server-Schlüssel k. Dann, Sie würde das cookie wie folgt:

    keyhmac = HMAC(user name + expiration time, k)
encrypted = ENCRYPT(data, keyhmac)
hmacenc = HMAC(user name + expiration time + data + session identifier, keyhmac)
cookie = user name + expiration time + encrypted + hmacenc;

    Dann können Sie entschlüsseln, die Sie später mithilfe der umgekehrte Prozess. Der HMAC überprüft, dass es nicht manipuliert wurde außerhalb Ihrer server (vorausgesetzt, dass k ist wirklich geheim)...

    Die Tatsache, dass es eine Sitzungs-id (SSL, am besten ist, aber die IP kann möglicherweise zu dienen) bedeutet, dass es immun gegen replay-Angriffe oder hijacking-Angriffe.

    SSL wäre am besten, aber man kann sich ein ziemlich gutes system durch die Verwendung einer Verschlüsselung, wie diese. Das absolut beste wäre die Kombination dieser Regelung mit SSL, was dann verhindert, dass alle Arten von Gemeinheiten (einschließlich MITM Manipulation, nicht aber andere MITM-Angriffe)...

    • Es sagt Secure Cookie Protocol SSL erfordert.
    • Das ist, wie es entworfen wurde, ja. Aber das ist auch der Grund, warum ich sagte, sowas. Sie können immer noch einen signifikanten Vorteil von Verschlüsselung die Inhalte auf diese Weise auch ohne SSL. Das beste Ergebnis ist SSL. Aber wenn Sie nicht können, können Sie immer noch nutzen...
    • -1 dies ist nicht eine sichere Lösung.
    • können Sie entweder eine bessere Lösung, oder zumindest erklären, was falsch ist mit diesem? Sicher, SSL wäre besser, aber angesichts der Parameter der ursprünglichen Frage, was ist falsch an dieser Antwort?
    • end-to-end-transport-layer-Schutz beispielsweise von SSL ist der einzige Lösung. In diesem Fall, Sie sind immer noch die übertragung auf einen statischen Wert so, dass der client gegenüber dem server authentifiziert. Nichts hindert einen Lauscher von der Einholung dieser Wert. Es gibt einige JavaScript-Lösungen, jedoch der Fehler ist, dass der ursprüngliche laden der JavaScript-code ausgeführt werden kann nicht in eine authentifizierte Mode.
    • Weitere "Secure Cookie Protocol" ist ein grober Missbrauch der Kryptographie, da Sie sicherer und einfacher zu verwenden Sie eine einfache kryptografische nonce als ein cookie. Wenn Sie halten in den Nachrichten haben Sie gehört, über die asp.net oracle Polsterung Sicherheitslücke, die zeigt, dass Sie gewinnen können Remotecodeausführung auf einige web-apps, weil dieser Missbrauch der Kryptographie. "Komplexität ist der Schlimmste Feind der Sicherheit" --Bruce Schneier
    • man könnte auch hinzufügen wollen, den remote-port der ip da NAT ' ed verbindungen die gleiche IP nutzen.
    • Secure Cookie Protocol SSL erfordert. Auch erfordert eine eigene, sichere session-id kennt nur der server und der client (das klingt furchtbar viel wie ein cookie, das macht mein Kopf drehen in die unendliche regression). Was für ein schreckliches Protokoll. FUNKTIONIERT NICHT IN DIESER SITUATION.

    InformationsquelleAutor ircmaxell
  2. 4

    Kurze Antwort: keine Verschlüsselung bedeutet, dass Daten unverschlüsselt.

    Längere Antwort: Wenn Sie möchten, verschlüsseln Sie Ihre HTML-Zeug (und ich gehören cookies und session-id als HTML-Zeug), Sie müssen Sie verschlüsseln Ihre Daten. Sie haben zwei Optionen: ein. HTTPS oder b. Rollen Sie Ihre eigenen Schema. Option b ist fast nie eine gute Idee.

    • Ist HTTPs lösen fast alle Fragen der Sicherheit für die Benutzer-Authentifizierung und API-Zugriff, indem nur autorisierte Benutzer?
    InformationsquelleAutor DwB
Schreibe einen Kommentar