Change #1004

[Security] Bei login über https: Cookies nur über https senden

Added by Rotzbua almost 3 years ago. Updated over 2 years ago.

Status:erledigt% Done:

100%

Priority name:2 mittel
Assignee:-
Target version:Version 3.1.1
Ticket Referenz: Kategorien:Security

Description

(2) Bei login über https: Cookies nur über https senden
Umsetzung: mittel
Prio: mittel
Angriffssze­na­rio: passive or active MiTM
Hintergrund:
Wird über https eingeloggt so wird ein Cookie gesetzt, welches über jede Verbindung also auch über unsicheres http gesendet wird, gesetzt.
Lösung:
Cookie httpsonly setzen.
Vorschlag:
Cookie mit sensiblen Daten httpsonly setzen. Ein weiteres Cookie setzen welches signalisiert, dass über https eingeloggt wurde und automatisch dann auf https zurückgeleitet wird falls die Seite über http aufgerufen wird.

Usecase:
Login über http:
Session-Cookie ganz normal wie jetzt setzten.
-> http und https funktionieren so wie jetzt

Login über https:
Session-Cookie httpsonly setzen, dann wird dieser Cookie nur über https übertragen (ist eine Cookie Eigenschaft), zweiten "normalen" UmleitenNachHTTPS-Cookie setzen.
-> Aufruf über http: Session-Cookie wird nicht übertragen (MiM kann nicht Session klauen), UmleitenNachHTTPS-Cookie wird übertragen -> Seite erkennt das und leitet auf https um
-> Aufruf über https: alles wie bisher

Associated revisions

Revision 0de94600
Added by Rotzbua almost 3 years ago

change cookie for https; updates #1004

- https only if login was https
- add flag cookie to redirect to https
- on logout destroy redirect flag cookie

History

#1 Updated by Rotzbua almost 3 years ago

PR ist draußen, lokal getestet

#2 Updated by teiling88 over 2 years ago

  • Status changed from neu to erledigt
  • % Done changed from 0 to 100

Also available in: Atom PDF