Можно ли копировать файлы cookie между машинами, чтобы выдавать себя за пользователя?

У нас есть приложение, которое, помимо прочего, проверяет наличие файла cookie, а также считывает и расшифровывает его содержимое. Хотя данные, хранящиеся в файле cookie, не являются конфиденциальными, они были зашифрованы с помощью шифрования TripleDes. Сегодня был поднят вопрос, можно ли скопировать файл cookie, сохраненный на одном ПК, на другой компьютер и сможет ли веб-приложение обнаруживать наличие этого скопированного файла cookie на другом компьютере и, в конечном итоге, расшифровать то, что оно будет иметь на исходном ПК.

У меня такой вопрос: Мы используем стандартную реализацию ASP.NET для сохранения файлов cookie (например, через HttpResponse), предотвращает ли файл index.dat перенос файла cookie с одного компьютера на другой? Что, если файл index.dat также был перенесен и скопирован, или внутри index.dat есть какая-то внутренняя структура, которая связывает cookie с определенной машиной?

asp.net security cookies xss index.dat
15.01.2009 00:10
Стоит ли изучать PHP в 2026-2027 годах?
Стоит ли изучать PHP в 2026-2027 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
13
0
3 266
4
Перейти к ответу Данный вопрос помечен как решенный

Ответы 4

Да, кража файлов cookie - это распространенный метод кражи сеанса у пользователя.

Некоторые сайты пытаются привязать cookie к IP-адресу клиента, но это не удается из-за больших корпоративных прокси-серверов с несколькими внешними интерфейсами или других нерезидентных настроек.

15.01.2009 00:14
Ответ принят как подходящий

Абсолютно. Это один из способов работы атаки межсайтового скриптинга (XSS):

  1. Я вставляю javascript на страницу
  2. Я жду, пока кто-нибудь посмотрит на страницу
  3. Введенный мной javascript отправляет мне ваши файлы cookie
  4. Я вхожу в систему как ты и делаю плохие вещи

Это конкретная проблема бит ТАК во время закрытого бета-тестирования.

15.01.2009 00:16

В дополнение к другим ответам. Никогда не доверяйте ничему, исходящему от пользователя веб-приложения, независимо от того, зашифровано ли оно.

Это связано с идеей проверки ввода как на клиенте, так и на сервере. Не верьте, что проверка на клиенте была сделана.

15.01.2009 00:18

Даже если все остальное в порядке, если кто-то может получить физический доступ к машине пользователя, он может скопировать файлы cookie на другую машину.

Например, при необходимости просто клонируйте диск!

03.03.2010 19:12

Другие вопросы по теме

NT AUTHORITY \ NETWORK SERVICE не наследует разрешения локальной группы?
Хороший способ дезинфицировать ввод в классическом asp
Простая возможность авторизации / входа в php
Модели безопасности приложений SQL Server и asp.net / лучшие практики
Как настроить ActiveMQ для назначения «анонимного» пользователя и роли неаутентифицированным пользователям
Эквивалент Windows Keychain для OS X?
Загадка пустого пароля
Как я могу защитить имя пользователя и пароль MySQL от декомпиляции?
Как проверить правильность настройки авторизации на основе пути Subversion?
Есть ли в Windows какое-то безопасное локальное хранилище?

Похожие вопросы

Импорт и экспорт Excel - какая библиотека лучшая?
Пользовательские динамически создаваемые меню с некоторыми странными ошибками
Page_Load вызывается в Firefox, но не в IE
MSI для нескольких веб-сайтов БЕЗ дополнительных действий
Динамически добавлять несколько экземпляров одного и того же типа пользовательского элемента управления при нажатии кнопки
Веб-приложение asp.net компилируется и развертывается на x64 и x86
Проблема с отображением панели обновлений в ASP.NET
Как подсчитать отмеченные флажки на всех страницах сетки с помощью jquery?
Как предотвратить Sql-инъекцию в Sql-запросы, созданные пользователем
Можете ли вы использовать поставщика членства asp.net в приложении Windows?