Question:
Pourquoi le détournement de cookies ne peut-il pas être évité en associant des cookies à des adresses IP?
Praxeolitic
2015-12-11 02:41:46 UTC
view on stackexchange narkive permalink

Je viens de commencer à lire sur les cookies et toutes les façons dont je peux me tromper et autoriser le piratage des cookies, ce qui permet aux attaquants de faire des choses comme usurper l'identité d'un utilisateur connecté.

Je ne comprends pas pourquoi cela ne peut pas être résolu en demandant simplement au serveur d'ajouter à chaque cookie une signature déterminée par le reste du cookie, une clé secrète sur le serveur et l'adresse IP de celui qui fait la demande. Les cookies volés seraient alors pour la plupart inutiles pour quiconque ne peut pas recevoir de réponse à cette adresse IP. Toutes les données lisibles d'un cookie volé lui-même sont toujours accessibles, mais les cookies volés ne peuvent pas être utilisés pour usurper l'identité de quelqu'un d'autre.

Pourquoi cela ne fonctionne-t-il pas? Existe-t-il un moyen de recevoir des paquets liés à une adresse IP que vous ne contrôlez pas? Je sais que sur mon réseau local, je peux lire des paquets destinés à d’autres ordinateurs de mon réseau local, mais je ne pense pas qu’il soit possible d’envoyer une copie de tous les paquets destinés à stackoverflow.com sur mon adresse IP résidentielle.

Si c'était notre seul moyen de sécurité, vous pourriez toujours envoyer des requêtes falsifiées, mais vous ne pouvez pas tromper le serveur en lui renvoyant quoi que ce soit à votre propre IP (je pense), ce qui semble toujours utile.

je n'ai rien trouvé sur l'association de cookies avec des adresses IP sur Google, donc je pense que cela ne fonctionne pas mais je ne sais pas pourquoi.

Voir également https://www.owasp.org/index.php/Session_Management#Associating_Session_Information_With_IP_Address, http://security.stackexchange.com/q/24287/971, http://security.stackexchange.com/q/35977/ 971, http://security.stackexchange.com/q/17073/971, http://security.stackexchange.com/q/58648/971.
Il y a plus d'ordinateurs portables que d'ordinateurs de bureau de nos jours. Ainsi, une seule personne peut avoir plusieurs adresses IP en une seule journée.
Trois réponses:
Steffen Ullrich
2015-12-11 02:49:58 UTC
view on stackexchange narkive permalink

Si le cookie est volé à l'intérieur d'un hotspot Wifi public, tous les utilisateurs du hotspot ont généralement la même adresse IP publique. Cela signifie que la liaison à une adresse IP n'aiderait pas contre un attaquant dans le même réseau local.

À part cela, si l'adresse IP publique des utilisateurs change comme c'est le cas avec le déplacement entre les réseaux (Mobile, université WLAN, WLAN au café, WLAN à la maison ...) ils auraient besoin de se connecter encore et encore.

Et certains n'ont même pas besoin de bouger, car leur FAI ne leur attribue pas d'adresses IP statiques
@Braiam, vous avez bien sûr raison, mais la plupart des adresses IP dynamiques semblent stables sur une échelle de temps de jours à mois si vous laissez le routeur allumé. Même avec mon ancien routeur éteint pendant la nuit (interrupteur horaire sur le secteur), je pourrais garder la même adresse IP pendant des semaines.
@ChrisH: en Allemagne, il est courant que le FAI coupe la connexion une fois par jour et qu'une nouvelle adresse IP vous soit attribuée.
@SteffenUllrich chez moi au Royaume-Uni, la connexion tombe assez fréquemment mais de manière aléatoire certains jours, mais l'adresse IP reste la même. Le modèle allemand est-il une actualisation IP délibérée ou sert-il un autre objectif?
@ChrisH: traditionnellement, c'était probablement pour rendre plus difficile l'exécution d'un serveur public là-bas. Mais aujourd'hui, avec les serveurs bon marché, je ne sais pas.
Joshua
2015-12-11 09:23:48 UTC
view on stackexchange narkive permalink

Steffen Ullrich a raison sur le gain de sécurité douteux. La raison pour laquelle nous ne l'implémentons pas dans la pratique est due à l'ancienne prévalence des boîtes NAT multi-hébergées où X ordinateurs seraient réduits à N adresses IP (où X >> N). L'effet secondaire de la façon dont cela fonctionnait était que la prochaine requête proviendrait d'une adresse IP différente dans le même sous-réseau, et vous ne savez plus où se trouvent les limites du sous-réseau en raison du CIDR.

m2kin2
2015-12-11 13:38:21 UTC
view on stackexchange narkive permalink

Vous pouvez vous associer en fonction de l'adresse IP pour la durée d'une session, au cas où vous regarderiez une application de quelque sorte, et vieillir et expirer après un certain temps. Il est assez certain que vous ne vous engageriez pas dans quelque chose comme des transactions bancaires pendant une période prolongée, mais pour quelque chose comme les sites sociaux, c'est assez laxiste.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...