Насколько защищены файлы Cookie от кражи?

Question

[Anonymous85966]

На сайте имеется система авторизации. От паролей я решил отказаться в угоду безопасности. На странице авторизации имеется поле для ввода email. При вводе email и отправке запроса на сервер на этот email отправляется код подтверждения, который представляет собой 6 значное число. Пользователя перебрасывает на страницу с полем ввода, где требуется ввести код подтверждения. Если пользователь вводит неверный код, то ключ авторизации ему не выдается и страница просит ввести код заново. Если кто-то вводит неверный код больше 10 раз, то аккаунт блокируется. Если код введен верно, возможны две ситуации. Если пользователь на странице авторизации не поставил галочку в поле Запомнить меня, то в сессию сохраняется объект класса User, через который можно получать все данные пользователя, которые нужны для пользования сайтом(id, email и тд). В общем, пользователь авторизирован, но после закрытия браузера сессия будет уничтожена. Если пользователь на странице с авторизацией поставил галочку в поле Запомнить меня, то помимо сессии в куки файл сохраняется дополнительный ключ авторизации. Зачем он нужен? Он нужен для авторизации после уничтожения сессии. Ключ авторизации представляет собой код подтверждения(отправленный на почту), который при помощи конкантенации склеивается со строкой-солью(хранится не сервере, никто не знает значение). Соль нужна для того, чтобы сторонний пользователь вручную не создал куки с ключом авторизации, который просто подобрал(без соли ключ-это просто число, уйдут секунды на его подбор). Далее склеенная строка зашифровывается при помощи необратимого шифрования. Этот ключ сохраняется в базу данных(в ячейку пользователя) и в куки файл. Теперь, после закрытия браузера сессия уничтожится, а куки с ключом останется. Далее, при входе на сайт, на каждой странице сайта происходит извлечение хэша из куки файла и сравнения его с хэшем в базе данных каждого пользователя. Если у кого-то из пользователей хэши идентичен, то устройству с куки файлом выдается сессия с данными пользователя, после чего пользователь авторизован. Также куки файл нужен для функции Выйти со всех устройств, при активации которой из базы данных удаляется ключ авторизации. После этого, как только пользователь с куки файлом, в котором находится ключ доступа, обновляет страницу, активируется функция сравнения ключа в базе данных и ключа в куки. Если ключи не совпадают, то сессия пользователя удаляется(произведен выход из аккаунта). Требуется повторная авторизация. Проблема системы в том, что если сторонний пользователь получит куки с ключом авторизации, то он получит доступ к аккаунту. В связи с этим возникает вопрос, насколько защищены файлы cookie от воровства?

Comments

[FanatPHP]

Вопрос, если подумать, риторический.
Ты задаешь его на сайте хабр.ком, который запоминает тебя... по куке.
Много здесь кук наворовали?

[Slava Rozhnev]

FanatPHP, ну, это анекдот про неуловимого джо

[FanatPHP]

Slava Rozhnev, анекдот про неуловимого джо в интернете не работает, к сожалению.
Все что можно стырить - тырят просто походя, проходя широким неводом.
понятно что за тобой персонально никто не охотится, но скрипт-кидди все равно сканируют всё и вся, просто на автомате.
И если бы всё было так просто как там ниже один иксперт разливается, то акки бы ломали каждый день. Меня бы уж точно давно на тостере задефейсили - обиженные тут стадами ходят :)

Answer 1

[SKEPTIC]

Нинасколько не защищены. Любой стиллер, даже за 10$ имеет функцию стыривания кукисов.

Не совсем понятно зачем такие костыли с ключом из кода, который придет на почту. Разве нельзя просто генерить рандомные байты соответствующей функция в php?

Необратимое шифрование - это не шифрование, а хеширование.

Зачем лочить акк из-за 10 неверных кодов? Тогда любой школьник, чухнувший это сможет забанить любой акк на твоем сайте. Как этого избежать? 1. Не давать информации о том зареган ли юзер с таким мылом или нет. 2. Вешать капчу на ввод кода. Это практически полностью защищает от автоподбора. А лучше делать код не только из 6 цифр. Можно увеличить его длину. Хотя бы до 8 цифр. А еще лучше писать туда и буквы тоже.

Чтобы избежать кражу кукисов нужно сделать пару простых вещей.
1. Начать использовать хотя бы самописное подобие нормальной системы токенов. Посмотри на JWT. Там есть refresh и access токен. Время жизни access токена нужно ставить небольшое. Лучше чтобы это было не более 5 минут. Так как логи со стиллеров и прочей дряни чекаются не сразу.
2. Хранить токены не только в куки. Есть еще и localstorage. Но тут уже кто на что горазд. Кто-то делает не 2 токена, а 3 или больше. Рассмотрим пример с 4 токенами. 2 токена на refresh и 2 токена на access. Один из пары храниться в куки на httponly, а второй токен хранится в localstorage. При операциях предъявляются оба токена. Таким образом стыриванием только куков злоумышленник ничего не добьется. А так же желательно смотреть не только на токены, но еще и на другие детали. Например, user-agent и IP-адрес. Резкая смена того и другого в одной сессии довольно странно. Да, это легко обходится, но не в каждом вредоносном ПО такое предусмотренно. Не каждый рядовой ратник способен организовать какое-то подобие прокси через комп жертвы.

Вообще эта тема довольно непростая и лучше придерживаться то, что уже было придумано и успешно используется.
Почитай про JWT. Можешь посмотреть вот это https://deworker.pro/edu/series/http-basics/authen...
Также можно использовать уже готовые решения в фреймворках на твоем языке.

Comments

[Anonymous85966]

Извиняюсь по поводу блокировки аккаунта из-за 10 неверно введенных паролей, на самом деле, на сайте в данный момент нет защиты от подбора, я ее планировал добавить позже, здесь же написал первое, что в голову пришло)

[FanatPHP]

Давай так.
Если украдешь мои куки с тостера, я тебе плачу $50.
Должно окупить твои затраты на "стилера".

Как я вижу, никаких токенов в локалсторож тостер не пишет - то есть проблем быть не должно.
Deal?

[FanatPHP]

Anonymous85966, ну так и этот Senior Pomidor из GOVNOKOD LTD тоже написал первое что в голову пришло.
Вот и поговорили :)

[SKEPTIC]

FanatPHP, таким я не занимаюсь. На досуге вникал в тему. Где-то на форумах бродит статейка про написание стиллера на питоне за 10 минут. Попробуй закопипастить код и запустить. Посмотришь, можно ли стырить куки или нет, раз тебе так хочется это проверить.

[Anonymous85966]

SKEPTIC, спасибо за ссылку на курс, думаю, что лучше сделать систему идеальной

[SKEPTIC]

Anonymous85966, надеюсь, ты понимаешь что курсом часовым дело не ограничивается.

[Anonymous85966]

SKEPTIC, конечно, но хоть сколько-то полезной инфы получу

[FanatPHP]

Я так и думал :)

[FanatPHP]

Слушай, а где этот стиллер запускать-то надо?

[xfg]

FanatPHP, у автора сейчас нет защиты от подбора, у него всего 10^6 = 1 млн. комбинаций кода, что какой-нибудь blowfish со сложностью 12 отлетит даже на моей 11-летней видеокарте примерно за 12 дней, я молчу уж про современные видеокарты и фермы, где его сломают за пару часов. Это если у него blowfish, а если md5 и подобное, то время пойдет на минуты. Но автор думает о краже кук :)

[SKEPTIC]

FanatPHP, ради интереса написал небольшой скриптик, используя немного кода с форума. Все отлично получает. Кука, отвечающая за вход - toster_sid отлично стилится этим скриптом.

[FanatPHP]

Понятно. И действует этот ужасно коварный стилер на том же принципе, что и известный олбанский вирус.

[shurshur]

SKEPTIC, ничего гениального нет в том, чтобы достать куки локально запущенным софтом. Другой вопрос, что если таки удалось запустить что-то на компьютере жертвы, то количество токенов уже ни на что не повлияет.

[SKEPTIC]

shurshur, дело в том, что из стиллеров мало кто берет еще и localstorage. Чаще берут куки. И да, токен действует несколько минут. Что усложняет вероятность взлома при направленности на массовость. Если атака направленная на конкретного пользователя и он что-то скачивает и запускает - тут ничего не поможет

[shurshur]

SKEPTIC, утешать себя тем, что некоторые не научились воровать localstorage - нет, это безопасность не повышает. Если же запускаешь софт на компьютере жертвы, то можно в принципе и скриншоты снимать, и клавиши перехватывать, и в headless-браузере что угодно гонять, даже не залезая в недра браузера.

Answer 2

[Ranwise]

изобрели этакую 2х факторную авторизацию, только теперь юзеру нужно сходить на почту и скопировать ваш пароль, на мобилке это очень удобно, или еще раз вбивать пасс к почте