it-swarm-korea.com

로드 밸런서로 인한 안전하지 않은 쿠키

Http에 대한 https 요청을 종료하는로드 밸런서가 있으므로 백엔드 서버는 해당 요청을 http로 봅니다. 결과적으로이 사이트의 https 버전에서 쿠키를 볼 때 모든 쿠키가 보안 플래그없이 설정됩니다. http와 https를 혼합 한 이후 어쨌든 문제가 되나요? Amazon.com과 여러 다른 대형 전자 상거래 사이트에도 https에 비보안 쿠키가있는 것 같습니다.

11
Bradford

쿠키에는 "보안"플래그가 있습니다. 이론적으로, "보안"쿠키가 HTTP (비 HTTPS) 서버에 의해 제공되는 것을 막는 것은 없습니다. 그러나 서버 소프트웨어는 관점에서 볼 때 프로토콜이 HTTP이고 보안 쿠키가 HTTP를 통해 전송되는 경우 거의 의미가 없으므로 문제가 발생할 수 있습니다. 서버가 HTTPS-HTTP 게이트웨이 뒤에 있다는 것을 알지 못합니다. 반면에 클라이언트는 HTTPS 연결을보고 그러한 연결을 통해 보안 쿠키를 확보해도 전혀 놀라지 않을 것입니다.

비보안 쿠키의 문제점은 클라이언트가 원래 서버처럼 보이는 모든 서버로 행복하게 쿠키를 전송한다는 것입니다. 활성 공격자가있는 경우 보안되지 않은 쿠키가 공격자에 의해 납치 될 수 있다고 가정해야합니다. 정확한 상황에 따라 이는 중대한 위협, 경미하거나 존재하지 않는 위협 일 수 있습니다.

9
Thomas Pornin

쿠키는 http를 통해 전송되기 때문에 세션 쿠키의; 보안 플래그는 중요합니다. 모든 링크와 리소스를 https로 지정하더라도 공격자는 피해자가 http 연결을 열도록 속일 수 있습니다.

일반적으로 응용 프로그램 서버에서; 보안 플래그를 설정합니다. 로드 밸런서는 https 연결 내부에서 응답을 다시 보냈으며 모든 것이 클라이언트에게 적합합니다. 주요 문제는로드 밸런서에게 응용 프로그램 서버에 대한 http 연결에 쿠키를 포함하도록 지시하는 것입니다. 로드 밸런서의 구체적인 구현에 따라 자동으로 구성되는지 아니면 일부 구성이 필요한지에 따라 다릅니다.

3

그렇습니다. 해당 쿠키에 보안 플래그가 설정되어 있지 않으면 Firesheep와 유사한 공격에 취약하여 사용자에게 악영향을 줄 수 있습니다 (예 : 개방형 무선 연결을 통해 연결하는 사용자). 따라서 해당 쿠키에 보안 플래그가 설정되어 있는지 확인하는 것이 좋습니다.

2
D.W.

에서 wikipedia

보안 쿠키는 브라우저가 HTTPS를 통해 서버를 방문 할 때만 사용되므로 클라이언트에서 서버로 전송할 때 쿠키가 항상 암호화되므로 도청을 통해 쿠키 도난에 노출 될 가능성이 줄어 듭니다.

따라서 대답은 실제로 쿠키를 통해 전송되는 쿠키의 내용에 대해 우려하거나 데이터에 민감하며 항상 https를 통해 전송해야한다는 것입니다.

1
Mark Davidson