@bonav76690

Как защититься от кражи cookie не используя мета информацию (ip, etc..) и js?

Если кто-то залез в браузер к пользователю и скопировал его куки себе - пиши пропало? Обязательно использовать js, локалсторедж и прочие браузерные приблуды? Чисто протоколом http и бакендом никак?
Какой есть алгоритм защиты, используя php?
  • Вопрос задан
  • 137 просмотров
Пригласить эксперта
Ответы на вопрос 3
nokimaro
@nokimaro Куратор тега PHP
Что подразумевается под "залез в браузер" ?
Если у злоумышленника полный доступ к компьютеру/браузеру, то помимо cookies точно так же можно достать данные localstorage и любых других "приблуд". И в принципе можно просто отправлять запросы из браузера как легитимный юзер, тут вы бессильны.

Если речь про воровство cookies через XSS, то есть флаг HttpOnly который предотвратит доступ к cookies через JS
https://owasp.org/www-community/HttpOnly

Против MITM-аттак, используйте HTTPS + HSTS.

Как доп защита, использовать GeoIP-базы, как делают соц. сети или почтовики, собирая данные об авторизации пользователя и выявляя аномальные входы (другая страна, другой город).
Ответ написан
cr1gger
@cr1gger
Junior PHP
Сессии, как аналог их нельзя украсть.
Ответ написан
dimonchik2013
@dimonchik2013
а кормить вас будем блинами-они пролазят под дверь
если сервер богатый или учебный - websocket

но в целом проблемы нет от слова совсем:

перепутать одинаковые данные невозможно
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы