Как запретить использовать один токен?

Question

[0x80070005]

Здравствуйте! Пишу простую авторизацию и кабинет, в куках храню токен и вот задался я таким вопросом, а как запретить использовать этот токен на других устройствах? То есть, что я имею ввиду. Вот есть скажем 2 пк, на одном Вы авторизовались, открыли cookies, скопировали токен и на другом пк его вставили и таким образом вы зашли в аккаунт без авторизации. Как с таким бороться? Какие данные нужно вытягивать, чтобы потом сверять?

Comments

[Петр]

Browser Fingerprint

[0x80070005]

Петр, как я понимаю, это id устройства, верно?

[0x80070005]

Петр, нашел информацию, что он плохо работает с apple :)

[Aetae]

0x80070005, нет, это fingerprint браузера.


С чем и как работает - зависит от библиотеки. И да, от целеустремлённого злодея не спасёт, однако жизнь усложнит.

[Александр]

Так в Jwt есть же audience, не вариант его валидировать? Или что за токен?

[0x80070005]

Александр, токен, который проверяет на авторизацию тебя. В куках, заголовках

[Александр]

0x80070005, ну дык в bearer все это есть

[0x80070005]

Александр, а ты в курсе, что заголовки можно обновить и вкинуть туда этот токен? Ребята, вопросы читайте, прежде чем отвечать на них

[Александр]

0x80070005, хорошо, используй secure куку

[0x80070005]

Александр, и что это мне даст? Ничего, разве что поможет от 3-их лиц. А то, что я могу сам достать эти данные и перекинуть на другой пк, не смущает?

[Александр]

0x80070005, да нет, меня то не смущает абсолютно как-то, спасибо за беспокойство.
Снимай тогда hwid сверяй, время сессии минимальное сделай, ip сверяй, фингерпринт проверяй, понятия не имею какие у тебя там с ним проблемы возникли у единственного.
Любой браузер тебе тот же резолюшн предоставляет, его сверяй, ещё варианты нужны? Или уже с этими не осилишь?

[0x80070005]

Александр, так вот в этом и вопрос

Какие данные нужно вытягивать, чтобы потом сверять?

[Александр]

0x80070005, только что написал, что не понятного?

Answer 1

[ThunderCat]

в куках храню токен и вот задался я таким вопросом, а как запретить использовать этот токен на других устройствах? То есть, что я имею ввиду. Вот есть скажем 2 пк, на одном Вы авторизовались, открыли cookies, скопировали токен и на другом пк его вставили и таким образом вы зашли в аккаунт без авторизации.

В чем проблема? Так работает вся система куки-зависимых данных (например сессии). Так как куки является приватной информацией в рамках сессии, данные в ней так же считаются приватными и по умолчанию недоступными третьим лицам. По этому все страдания на тему "ой, можно же что-то вытащить и вставить это не безопасно" и прочие страдания юных специалистов по безопасности можно смело взять и выкинуть в психологическую мусорку.

Если у человека появилась возможность вытащить ваши куки из сессии, проще тут же на месте сменить пароль на свой или вообще сделать с аккаунтом что угодно, не заморачиваясь с поиском кук и прочей фигней. Это вопрос доступа к устройству, а не к данным.

Comments

[0x80070005]

Причем тут 3-и лица, это во-первых? Возьмем например какой-то кино сайт, где разрешено подключать только 3 аккаунта к устройству. Мне не составит труда открыть код элемента и скопировать данные из cookie и подставить их на другом устройстве и таким образом я уже имею доступ к аккаунту. К чем тут сессия вообще? Ты читай вопрос, который задают.

Приходишь на работу и дают тебе задачу написать авторизацию с использованием номера и OTP, а ты вместо этого пишешь авторизацию по почте. Вот таким образом ты и отвечаешь на все вопросы которые тут задают.)

[ThunderCat]

0x80070005, какой вопрос задал, такой и ответ получил.

Возьмем например какой-то кино сайт, где разрешено подключать только 3 аккаунта к устройству.

Может 3 устройства к аккаунту?

Мне не составит труда открыть код элемента и скопировать данные из cookie и подставить их на другом устройстве

О, да. Удачи посмотреть куку на смарт тв например. Но это так, к слову.

По озвученному у тебя проблема с утеканием куки, по факту у тебя ограничение по количеству на вход с 1 аккаунта (что в целом принципиально разные кейсы).

Вот таким образом ты и отвечаешь на все вопросы которые тут задают.)

Не тебе определять качество моих ответов, учись ставить нормальные вопросы. Это важно для программиста, четко определять проблему и озвучивать область применения.
Вот похожая задача тут обсуждалась, но решения защищающего на 100% под такие вещи нет. Если речь идет про сервисы по типу нетфликса, то там свое приложение, в рамках которого ключи формируются для устройства в момент привязки к аккаунту, а данные ходят по сокету, так что в принципе можно засниффить что-то из ключей и попробовать эмулировать, но по факту дело того не стоит. Достаточно надежно, но не очень подходит для веб приложения. В твоем случае простейший способ при авторизации записывать фингерпринт окружения, хешировать и при каждом запросе формировать его по новому, отправляя отдельно например в теле запроса, или в заголовке. Естественно при логине этот ключ пишется в хранилище и сверяется при запросах.

[0x80070005]

ThunderCat, ты сомневается, что я не смогу на smart tv узнать куки? Какой же ты наивный. Советую прочитать про kiwi браузер который предоставляет доступ к коду элемента :д

[0x80070005]

ThunderCat,

Все, можешь мимо моих вопросов проходить. От тебя толку как от пенька и ответ мне уже дали