Historias
Slashboxes
Comentarios

Barrapunto

Secciones

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.

Resuelto 'bug' en GMail que permitía el acceso a cuentas ajenas | Log in/Crear cuenta | Top | 64 comentarios | Buscar hilo

Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

Re:Mal explicado
(Puntos:1)

por prez (14333) el Martes, 15 Noviembre de 2005, 08:08h (#640331)

Pues vaya con la vulnerabilidad. Los cookies se usan para guardar el identificador de sesión en prácticamente todas las aplicaciones. Por eso los identificadores de sesión son chorizos tan largos, para evitar ataques como este.

Supongo que para 'arreglarlo' habrán contrastado el cookie con el navegador, y posiblemente la ip, del equipo que inició la sesión, con lo que se minimiza aún más la posibilidad de que alguien 'acierte' con el cookie de sesión de otro usuario. Esto es un comportamiento más que recomendable, pero vaya, que acertar el id. de sesión como estaba antes ya era bastante jodido.

--
En un mundo UTF-8, mi nick sería pérez

[ Padre ]

Re:Mal explicado de prez (Puntos:1)
Re:Mal explicado
(Puntos:1)

por TopoLB (9960) el Martes, 15 Noviembre de 2005, 08:59h (#640363)

Cierto la mayoría lo hace simplemente así. Sin embargo existen aplicaciones (como Livelink) en las cuales la cookie de sesión es un hash del ID de sesión junto con la IP origen de la conexión. De esa forma aunque consigas predecir una cookie válida, ésta no tendrá verificará la dirección IP del atacante. La verdad es que no entiendo pq esto no se hace siempre así. No le veo nada malo aparte del uso de procesador para el hashing, y problemas con balanceadores de carga... Un saludo,

[ Padre ]
- 1 respuesta por debajo de tu umbral de lectura actual.