Легко ли кому-нибудь получить ваши данные $ _COOKIE?

Question

Нужен ли им только ваш файл cookie, и тогда сервер просто предоставит им любой доступ к хранилищу файлов cookie?Или есть что-то большее?Потому что я планирую md5 некоторые данные cookie, но хочу убедиться, что кому-то не очень легко получить эти данные и имитировать их.

Answer 1

Ваш вопрос сбивает с толку.Файл cookie - это информация, хранящаяся на клиентском компьютере, которая отправляется на сервер при каждом запросе (как правило, тот, который дал указание клиенту сохранить его, но не обязательно).

Следовательно, любой, кто перехватывает файл cookie во время его работы.отправленный сервером клиенту (для хранения) или клиентом серверу может воспроизвести куки (следовательно, сервер получит значение для $_COOKIE).

К сожалению, куки часто хранят информацию, которая,в случае перехвата позволяет злоумышленнику выдавать себя за другого пользователя.Чтобы избежать перехвата, необходимо использовать https.Перехват не является обычным делом для случайного злоумышленника (за исключением незащищенных сетей Wi-Fi), но он доступен для правительств, интернет-провайдеров и сетевых администраторов.

Но ваш вопрос вызывает большие опасения:

Потому что я планирую md5 некоторые данные cookie, но хочу убедиться, что кому-то не очень легко получить эти данные и имитировать их.

В зависимости от того, что именно это означает, это может быть оченьнебезопасная настройка.Файл cookie может быть подделан любым клиентом, т. Е. Он может быть отправлен даже в том случае, если сервер никогда не сказал конкретному клиенту сохранить этот файл cookie.Поэтому, если вы делаете что-то вроде сохранения в файле cookie значений, таких как md5('is_admin:1'), знайте, что любой может подделать эти данные, несмотря на хэш md5 (если он может определить его формат).

Answer 2

Cookie - это просто то, что отправляется клиентом на сервер как часть запроса.Затем (теоретически) можно перенести его из одного браузера в другой, синхронизировать в каком-то центральном месте и т. Д. Если кто-то может прочитать чужие куки-файлы, тогда этот человек может полностью «украсть» учетные данные.

В этом конкретном случае существует много средств защиты, которые можно добавить с помощью протокола шифрования HTTPS.Но даже там, в зависимости от реализации браузера, если компьютер пользователя скомпрометирован, а сами файлы cookie копируются, теоретически возможно даже преодолеть это.Конечно, если компьютер пользователя скомпрометирован, на самом деле мало что можно сделать.

Лучше всего использовать HTTPS.После этого вы сделали все возможное, чтобы обезопасить соединение и связанные с ним файлы cookie.

Answer 3

Да, файл cookie сеансового токена - это обычно все, что нужно.В большинстве приложений, если маркер сеанса скомпрометирован, тогда сеанс может быть взломан и пользователь может выдать себя за другого.

Чтобы ответить на ваш второй вопрос, файлы cookie могут быть очень легкими или очень сложными для перехвата и взлома.В зависимости от того, как вы их защищаете.

Основной защитой для файлов cookie является использование SSL / TLS для шифрования соединения между клиентом и сервером.Если вы передаете файлы cookie без SSL / TLS, то любой пользователь в той же сети или тот, кто может видеть сеть между ними, может увидеть этот файл в виде открытого текста и использовать его.Итак, если вы заботитесь о безопасности файлов cookie (и безопасности сеансов), используйте SSL / TLS.

Мне любопытно.

"Поскольку я планирую md5 некоторые данные cookie, но хочу убедиться, что кому-то не очень легко получить эти данные и имитировать их."смысл этого?Зачем вам MD5 данные и хранить их в куки, если вы хотите убедиться, что они защищены?Если он должен быть защищен, он должен оставаться на сервере.

Answer 4

Да, каждый, кто перехватывает cookie-файлы, может их использовать, если вы не используете протокол https.Однако, даже если это FTP и злоумышленник имеет прямой доступ к этому компьютеру, он также может без проблем использовать эти файлы cookie.Вы можете защитить их по https или проверить IP-адрес / точное совпадение с пользовательским агентом.