Можно ли защититься от копирования cookie или session?

Question

[accountnujen]

Из одного браузера скопировал, в другой вставил - получил авторизованного пользователя. Как защититься от этого?

Comments

[Дмитрий]

можно содержимое подписывать с использование IP пользователя, fingerprint, salt. Соответственно не спасет если вор находится под тем же айпи и использует точно такой же браузер.

[accountnujen]

Дмитрий, ваши ответы теперь нужно всегда смотреть под призмой того, что вы советовали использовать ip, как способ детекции. не нужно давать плохих советов

[Дмитрий]

accountnujen, вы можете смотреть хоть под призмой того что я алкоголик. Однако совет остается прежним. Нагуглите варианты борьбы с перехватом JWT токенов в сингл сессионых приложениях. А я бухать.

[psiklop]

accountnujen, но это работает. Простое копирование кук не даст авторизованного пользователя. И как водится часть заботы переложить на него самого и дать для этого инструменты, сообщение о подозрительных авторизациях и кнопку "Выйти везде"

[accountnujen]

psiklop, ещё один... ты примерно представляешь, как ip выдаётся и от чего зависит его изменение?

[psiklop]

accountnujen, ты не понял, ip использовать просто для хеша с кукой, а не как способ детекции.

[psiklop]

accountnujen, либо так, либо никак, это реальный способ, а как действовать при смене ip сам решай, ты можешь заставить его переавторизоваться или выдать тоже предупреждение безопасности.

[psiklop]

accountnujen, если только смена ip проблема, как уже iMedved2009 писал можно намешать побольше условий fingerprint по личному опыту та еще зараза, поэтому можно добавить IP+UserAgent

[accountnujen]

psiklop, это ты не понял. ip менялся всегда и будет меняться. У меня на даче с опсосом ip за 1 минуту может 4 раза смениться: 3g -> H -> H+ -> 4G. Мне каждый раз заставлять пароль вводить? Иди лучше забухай с Дмитрием

[Дмитрий]

psiklop, чо вы паритесь? ну не знает человек что до сервера долетает только IP и User-Agent, и то с определенной долей условности. Смысл что то обьяснять? На человека опсосы напали и опсосали. Айда бухать.

[psiklop]

accountnujen, все зависит от ваших требований, если там деньги все серьезно, значит пусть каждую минуту авторизуется, если попроще можно IP AND USERAGENT - вместе они каждую минуту не меняются, а если бухать так может забить и пусть у него тырят куки из под носа, раз он loh

[ValdikSS]

accountnujen,

У меня на даче с опсосом ip за 1 минуту может 4 раза смениться: 3g -> H -> H+ -> 4G.

При переходе между сетями оборудование оператора должно сохранять IP-адрес пользователя в пределах сессии, если это возможно, иначе бы постоянно разрывались видеопотоки, VoIP-разговоры, игры и другие приложения.
Если у вас меняется IP-адрес при автоматическом переключении сети (а не ручном, при ручном сессия разрывается), то у вашего провайдера некорректные настройки.

[accountnujen]

ValdikSS, краснодар, питер (теле2) - ip меняется. разумеется я говорю о местах, где он работает нестабильно.

psiklop, да не, я о тебе переживаю, чтобы у тебя, когда из под носа куки уведут, все твои денюшки не украли.

[psiklop]

accountnujen, не надо, я по вам вижу ваш уровень и одним местом бы сразу почуял когда увидел ваш сайт и никогда бы его снова не открыл.

[psiklop]

accountnujen, судя по настроению, чьи-то "ресурсы" уже отлетели, причем вероятно не из-за воровства кук, а гавнокода.

[Дмитрий]

psiklop, А я вспомнил этого человека. Оказывается я уже общался с ним по поводу как получить имя файла. В принципе это норма - если чего то не понимать злиться и хамить

[accountnujen]

Дмитрий, я злюсь от того, что, задавая вопрос я думал, стоит ли писать о ничтожности ip в данной ситуации? Да-нет не стоит, и дураку ж понятно, что за ip нельзя хвататься, зачем бред какой-то писать? Это же тоже самое, если упомянуть, что компьютер у пользователя должен быть включён, должен быть свет, должен быть интернет - базовые же вещи, зачем упоминать? Но нет, оказывается не вывозят пользователи это. И самое смешное, что вместо того, чтобы заткнуться, осознав свою ошибку - талдычат одно и тоже. Ну хоть чуть-чуть критического мышления нужно иметь. Хоть чуть-чуть...

[Дмитрий]

accountnujen, ваша злость от непонимания, того что на том уровне где вы можете поставить куки или сделать связку кука - какие то уникальные данные пользователя, из этих уникальных данных у вас есть только айпи - и какой либо фингерпринт на основе юзер агента, или того что вам сообщит браузер о плагинах, шрифтах и прочем. Точка. Это базовая вещь. По этому задавая такой вопрос - вы получаете ответ базовый. Именно по этому вам ВСЕ написали одинаковые вещи. Но вы от глупости начинаете всем хамить.

[accountnujen]

Дмитрий, ну разумеется не "ВСЕ", а только 3 человека. обобщать не стоит.
фингерпринт достать до загрузки страницы я не могу. А если это делать после - добрый вечер, и его можно увезти.

[Дмитрий]

accountnujen, не буду. ибо здесь один ответ - не правильный или не совсем точный, можно - с определенной долей условности. а второй защита самой машины. а остальные - ip и фингерприт
фингерпринт можно сделать и на основе user-agent на сервере. да и на js можно закостылить так что бы не увели. но не стоит слушать алкоголиков.

[accountnujen]

Дмитрий, проблема в том, что ты никогда не разрабатывал авторизацию/аутентификацию, поэтому твои ответы основываются на теории. user-agent у многих одинаковый, ip может быть разный. А вот своё таинственное "закостылить так чтобы не увели" нужно подробнее описывать.

[Дмитрий]

accountnujen, может и нужно. но я же никогда не разрабатывал авторизацию, user-matching и прочую билеберду. я могу только фантазировать и писать чушь. это вы меня должны просвещать.

Answer 1

[AUser0]

Использовать двухфакторную авторизацию, конечно.

Comments

[accountnujen]

? и как это спасает?

[AUser0]

Так и спасает, что залогившийся пользователь ответственное действие должен подтвердить другим способом авторизации.

[accountnujen]

AUser0, логично. я подумал про вход, потом сам додумал до этой мысли

залогившийся пользователь ответственное действие должен подтвердить другим способом авторизации.

а оно оказалось про это и было

Answer 2

[Алексей Уколов]

В общем случае — никак.

Answer 3

[Дмитрий]

Как тут уже писали делайте отпечатки системы, чем больше параметров тем точнее детектирование Википедия

Ну и отдельная повторная авторизация для критически важных действий

Answer 4

[Михаил]

Никак, если не завязываться на устройство пользователя/IP
Можно для доступа к критически важным данным/функциям просить повторно вводить пароль (как делают некоторые интернет-банки, например)

Comments

[accountnujen]

забудь про ip