Cuando salí de un sitio sin cerrar la sesión, ¿la próxima vez que navego por ese sitio descubrí que estoy conectado allí? ¿Cómo ese servidor restaura el valor de la sesión para mi navegador? ¿Hay alguna posibilidad de ser pirateado en este proceso? ¿Ese valor de sesión restaurado puede ser robado por otros? por favor comparte tu concepto sobre esto. gracias de antemano¿Se puede piratear el valor de la sesión?
Respuesta
En todas las tecnologías yo sepa valores de sesión basada en Web se almacenan en el servidor remoto. Por lo tanto, para hackear los valores de su sesión, sería necesario hackear el servidor remoto. Lo que está encontrando es el hecho de que su identificador de sesión está almacenado en una cookie (session cookie), de modo que cuando vuelve a abrir su navegador, la cookie se utiliza para identificarlo y proporcionarle acceso a su sesión remota. Normalmente, las cookies de sesión tienen un TTL corto (tiempo de vida) antes de que caduquen y se cierre la sesión, pero si no lo hace, el cierre de sesión explícito debe borrarlo. Si está realmente preocupado, puede eliminar sus cookies.
Lo que está viendo es el resultado de una cookie almacenada con su navegador para aferrarse a la información de esa sesión. ¿Puede ser pirateado? Depende del sitio/aplicación, pero no más de lo que podría ser si no hubiera cerrado su navegador.
Utiliza cookies, una cadena de texto que su navegador mantiene en nombre del sitio, ya sea para un límite de tiempo establecido o hasta que cierre su navegador.
Cerrar sesión si es una preocupación. Obviamente, si alguien más usa la misma computadora poco después de que usted podría utilizar el sitio conectado como usted. Siempre cierre la sesión explícitamente en computadoras accesibles al público.
Dependiendo de si el servidor comprueba la dirección IP tratando de usar el token (probablemente una cookie, pero no tiene que ser) contra el que inició sesión, es posible que un ladrón use esa cookie para obtener acceso a su cuenta.
Un sitio bien diseñado no solo hará que las sesiones se agoten, sino que también las restringirá a una sola dirección IP (y al agente de usuario del navegador, etc.).
Incluso al verificar la propiedad intelectual, no es seguro contra el secuestro. Si tanto la víctima como el secuestrador se sientan detrás del mismo enrutador, entonces el servidor web los verá como procedentes de la misma máquina (ya que su IP pública sería la misma). Los ID del navegador tampoco son seguros ... pueden ser falsificados fácilmente. –
Definitivamente. Proteger contra los ataques de repetición en tiempo real es difícil. Se recomienda verificar la dirección IP, etc., pero no se debe confiar en estos ya que no son seguros. –
Como otros han señalado esta es la cookie en su máquina.
La forma de "piratear" sería obtener acceso a su máquina y luego tomar una copia de la cookie. O tome una copia de la cookie mientras se envía al navegador.
Para protegerse contra esto, usted podría:
- envía la cookie al cliente a través de HTTPS.
- No guarde la cookie en el disco (se almacenará una cookie sin un tiempo de espera en la memoria)
Bloqueo de una sesión a una sola dirección IP, puede causar problemas, si los usuarios están viniendo de una red con 2 servidores proxy.
gracias a todos ustedes. No tuve ningún problema todavía. Solo me mantenía actualizado. –
que tendría que oler su tráfico y robó sus galletas. Luego, si él no cierra la sesión, (para que el servidor no invalide las cookies), puede iniciar sesión con ellos
- 1. ¿Es posible "piratear" una variable de sesión (no quiero saber cómo)
- 2. ¿Se puede falsificar una sesión?
- 3. ¿Cuál es la mejor manera de guardar los mejores puntajes en el iPhone para evitar piratear?
- 4. ¿Puede el IP cambiar durante la sesión?
- 5. No se puede obtener la sesión en webmethod en asp.net
- 6. El valor StaticExtension no se puede resolver
- 7. No se puede obtener el valor de la cookie en Java. El valor contiene comas.
- 8. No se puede realizar la solicitud de estado de la sesión al servidor de estado de la sesión
- 9. No se puede separar la sesión de pantalla
- 10. No se puede modificar Iniciar sesión
- 11. No se puede abrir la base de datos solicitada por el inicio de sesión. El inicio de sesión falló. Falló el inicio de sesión para el usuario
- 12. Obtener valor de la sesión utilizando zk
- 13. ¿Cómo se puede obtener el valor local de almacenamiento
- 14. Error de AndroidRuntime: Parcel: no se puede ordenar el valor
- 15. No se puede obtener el valor de CKEditor w/Jquery
- 16. ¿No se puede obtener el valor de UIAStaticText?
- 17. ¿Se puede obtener el valor encadenado de DynamicObject?
- 18. ¿No se puede obtener el valor de input type = "file"?
- 19. no se puede crear la sesión después de la respuesta se ha cometido
- 20. No se puede cambiar el nombre de la cookie de sesión php
- 21. ¿dónde se guarda la sesión?
- 22. Hibernate/primavera: no se puede inicializar con pereza - no hay ninguna sesión o sesión se cerró
- 23. Java HtmlUnit - no se puede iniciar sesión en wordpress
- 24. ¿No se puede serializar el estado de la sesión debido a Microsoft.Web.Services3.StateManager?
- 25. Seguridad de primavera: no se puede cerrar sesión
- 26. No se puede iniciar una sesión de Bloomberg
- 27. ¿Puede JavaScript leer objeto de sesión HTTP?
- 28. El valor del tipo 'T' no se puede convertir a
- 29. ¿Se puede extraer el valor n-child en JQuery?
- 30. R: no se puede predecir el valor específico
Las sesiones normales no se piratean ... se secuestran (muy común con las cookies de WordPress - que ni siquiera tiene sesiones en el servidor). Las cookies son solo el almacenamiento de la sesión del lado del cliente. –
Son variables 'SESSION' consideradas seguras. Si alguien inicia sesión y almaceno en el alcance de la sesión su ID y el estado en que iniciaron sesión. ¿Usar esa ID para consultar los datos y devolverles los datos es seguro? Me lo imaginaba, pero no estoy seguro. ¿Debo almacenar su estado en un DB y solo usar eso como estado? Yo diría que SESSION es lo suficientemente segura. – Leeish