Pourquoi Tornado n'a pas de session

Je pense que les autres réponses ne parviennent pas à répondre à l'attaque principale qui est protégée contre ici, qui n'est pas falsification le cookie, mais falsification avec lui, ou inspection il.

Si vous envoyez un cookie à un navigateur disant "current_user = tom", l'utilisateur peut vous renvoyer un cookie alternatif disant "current_user = dave". Si vous n'avez rien pour valider le cookie, votre application supposera qu'ils sont connectés en tant que "dave".

Cela pourrait être atténué par signature le cookie à l'aide d'une clé secrète - le cookie falsifié n'aurait pas la signature correcte, il serait donc rejeté.

Cependant, il peut toujours y avoir un problème: si une partie de l'état que vous souhaitez stocker est secret. Par exemple, vous pouvez vouloir stocker le prix de revient et la majoration des produits dans le panier de l'utilisateur; clairement un cookie en clair que l'utilisateur peut lire n'est pas approprié ici.

Cela vous laisse deux solutions:

• Crypter le contenu du cookie, afin qu'il ne puisse être ni lu ni modifié sans connaître la clé privée.
• Stockez les données réelles localement (par exemple dans un magasin de disque ou de mémoire) et envoyez uniquement un identifiant dans le cookie. Ceci est généralement connu sous le nom de "données de session".

Les sessions sont relativement faciles à mettre en œuvre et sont prouvablement sûres contre ces attaques particulières. Cependant, ils pèsent sur votre infrastructure dorsale, car vos serveurs Web/d'applications doivent pouvoir écrire et lire les données; cela peut être difficile dans des configurations d'équilibrage de charge complexes, par exemple. En tant que tel, le cryptage d'une petite quantité de données directement dans le cookie peut être une alternative judicieuse, car maintenant la seule donnée qui doit être partagée entre vos serveurs d'applications est la clé privée.

Notez qu'aucun de ceux-ci ne protège directement contre d'autres attaques, telles que le piratage, où un utilisateur malveillant clone simplement les cookies d'une véritable session. Les jetons de session peuvent également être vulnérables à une attaque connexe appelée "fixation de session", où un attaquant choisit l'identifiant avant qu'un véritable utilisateur se connecte, et peut ainsi créer des cookies identiques pour lui; cela ne serait pas possible avec un cookie crypté, mais je suis sûr qu'il existe à son tour d'autres attaques uniques.

La question que vous avez trouvée ne décrit pas vraiment de quoi (je pense) vous parlez. La différence qu'ils décrivent est de savoir si les informations de session de l'utilisateur (donc des éléments comme quel article se trouve dans leurs achats par exemple) côté serveur et ne transmettent qu'un identifiant unique (aka cookie de session) au client, ou s'il faut stocker le tout sur le client.

Toutes les applications Web doivent avoir un mécanisme de maintien de l'état. HTTP est sans état par défaut, il n'y a donc aucun moyen pour un serveur de faire correspondre une requête à une autre.

La plupart des applications résolvent ce problème en utilisant des cookies. Les défis de sécurité liés à l'utilisation des cookies sont bien compris et, s'ils sont correctement mis en œuvre, ils ne devraient pas entraîner de problèmes de sécurité importants.

Les autres options pour ce faire sont généralement des en-têtes d'autorisation, donc en utilisant soit le résumé HTTP ou l'authentification NTLM. ce qui est plus courant dans les applications d'entreprise internes, ou pour générer ces en-têtes à l'aide de JavaScript (que vous voyez avec certaines applications modernes de page unique).

Quoi qu'il en soit, certaines informations doivent être transmises du client au serveur à chaque demande d'identification de l'utilisateur.

En ce qui concerne la falsification de cookies, généralement un jeton de session aura un degré d'aléatoire élevé, il n'est donc pas pratique de forger une valeur de cookie.