보안 : SSL을 사용하는 ASp.NET ID HTTPOnly 쿠키

Question

이것은 사용자 개체가 세션에 저장되는 데 익숙한 새로운 질문 프레임 워크입니다.

나는 "클레임"을 쿠키의 일부로 보내는 것에 관해 많은 이야기를 보았습니다. 그렇게하면 사용자 정보를 다시 검색 할 필요가 없습니다. 이름, 전자 메일 또는 권한과 같은 내용은 저장되는 쿠키의 클레임 영역 중 일부입니다.

내가 다 공부 한 모든 것은 SSL을 통한 httpOnly가 해킹당하는 측면에서 매우 안전하다고 말합니다. 나는 사용자 ID를 보내기 위해 아무 것도하지 않는 것을 잊지 만 사용자를 식별 한 다음 DB에서 나머지 사용자를 찾아 적어도 사용자가 해킹 당하면 권한이 해킹되지 않도록합니다. 과도하게 조심 스럽습니까?

쿠키를 설정하는 사람이 7 일 또는 1 일 동안 만료되는 것을 보게됩니다 ... 그 점에 대해서는 클레임 ​​영역에서 권한/역할을 보냈습니다. 서버에서 변경되면 어떻게됩니까? 기본적으로 사용자가 로그인하여 로그 아웃해야 새로운 권한이 발생할 수 있습니다. 소프트웨어 UI 표준에 대한 표준 기대치가 궁금한가요? 당신의 생각에 미리

감사합니다 :)

안젤라

Answer 1

나의 무지를 용서하지만 난 주장이 쿠키에 전송되는 소프트웨어의 조각을 건너 오지했습니다. 일반적으로 쿠키의 문제는 브라우저가 항상 쿠키를 보내도록 작성 되었기 때문에 XSS (교차 사이트 스크립팅) 공격의 가능성이 있습니다.

요즘 사람들은 ID 공급자 (로그인 페이지)와 서비스 공급자 (앱 코드)가 반드시 동일한 앱이 아니며 항상 직접 연결되는 것은 아니지만 페더레이션 인증 메커니즘을 사용하고 있습니다. . 즉, db에서 조회 할 수있는 사용자 데이터는 IdP에서만 존재하며 SP는 IdP가 제공 한 모든 것을 처리해야합니다.

이 때문에 정보의 각 비트가 'claim'으로 전송됩니다. 이것은 IdP가 사용자 이름이 john.smith라고 주장하지만 SP는이를 확인하는 수단이 없을 ​​수도 있습니다.

IdP와 SP는 IdP가 토큰 (예 : SAML 봉투 또는 JWT)과 SP에 서명 할 수있게 해주는 사전 공유 서명 키 형태로 신뢰를 설정해야합니다 토큰이 변경되지 않았 음을 확인할 수 있도록 서명을 확인합니다.

일반적으로이 토큰은 쿠키로 사용되지 않습니다. 대신 보통 Bearer 구성표를 사용하여 Authorization 헤더에 추가됩니다.

또한 쪽지로 - 세션 사용에 익숙하다고 말하면 세션 추적기도 쿠키입니다 (ASP.NET의 경우). 서버에는 응용 프로그램 풀의 메모리 캐시에 저장된 사용자에 대한 정보가 있으며 브라우저는 '여기있어.'라는 쿠키를 계속 전송합니다. 그래서 보안 현명한 거기에 단순히 쿠키를 사용하거나 쿠키 + 세션을 사용하는 사이에 비교할 수준입니다. 물론 쿠키가 정보를 유출 할 수 있다고 주장 할 수는 있지만, 앱은 항상 데이터를 토큰 화하거나 전체 쿠키를 암호화하여이 인수를 무효화 할 수 있습니다.