Change #1004

[Security] Bei login über https: Cookies nur über https senden

Von Rotzbua vor mehr als 2 Jahren hinzugefügt. Vor etwa 2 Jahren aktualisiert.

Status:erledigt% erledigt:

100%

Priorität:2 mittel
Zugewiesen an:-
Zielversion:Version 3.1.1
Ticket Referenz: Kategorien:Security

Beschreibung

(2) Bei login über https: Cookies nur über https senden
Umsetzung: mittel
Prio: mittel
Angriffssze­na­rio: passive or active MiTM
Hintergrund:
Wird über https eingeloggt so wird ein Cookie gesetzt, welches über jede Verbindung also auch über unsicheres http gesendet wird, gesetzt.
Lösung:
Cookie httpsonly setzen.
Vorschlag:
Cookie mit sensiblen Daten httpsonly setzen. Ein weiteres Cookie setzen welches signalisiert, dass über https eingeloggt wurde und automatisch dann auf https zurückgeleitet wird falls die Seite über http aufgerufen wird.

Usecase:
Login über http:
Session-Cookie ganz normal wie jetzt setzten.
-> http und https funktionieren so wie jetzt

Login über https:
Session-Cookie httpsonly setzen, dann wird dieser Cookie nur über https übertragen (ist eine Cookie Eigenschaft), zweiten "normalen" UmleitenNachHTTPS-Cookie setzen.
-> Aufruf über http: Session-Cookie wird nicht übertragen (MiM kann nicht Session klauen), UmleitenNachHTTPS-Cookie wird übertragen -> Seite erkennt das und leitet auf https um
-> Aufruf über https: alles wie bisher

Zugehörige Revisionen

Revision 0de94600
Von Rotzbua vor etwa 2 Jahren hinzugefügt

change cookie for https; updates #1004

- https only if login was https
- add flag cookie to redirect to https
- on logout destroy redirect flag cookie

Historie

#1 Von Rotzbua vor mehr als 2 Jahren aktualisiert

PR ist draußen, lokal getestet

#2 Von teiling88 vor etwa 2 Jahren aktualisiert

  • Status wurde von neu zu erledigt geändert
  • % erledigt wurde von 0 zu 100 geändert

Auch abrufbar als: Atom PDF