Sessionskapning i webbaserade inloggningssystem : en utredning av angrepp, försvar och kakor

Sammanfattning: Användare av webbaserade inloggningssystem hotas av sessionskapningsangrepp, där angripare kan ta över andras konton, oavsett hur stark autentiseringsmekanismen är. HTTP-protokollets tillståndslösa natur tvingar klienter att skicka ett sessions-ID, oftast genom kakor, för att låta servern autentisera varje meddelande efter inloggningen; en angripare behöver endast få tag på detta ID för att fullfölja angreppet. Detta arbete har, utifrån en omfattande litteraturstudie och med ASP.NET Forms Authentication som exempel, visat hur diverse svagheter kan låta angripare få tag på sessions-ID:t på olika sätt – även om HTTPS används för att kryptera kommunikationen. Arbetet har dessutom sammanställt en uppsättning riktlinjer som webbutvecklare kan använda för att försvara sina webbsajter mot dessa angrepp, bland annat genom att sätta HttpOnly-flaggan för sina kakor för att försvåra avläsning på klientdatorn, samt att eventuellt förknippa inloggningssessionen med användarens IP-adress. Någon enkel heltäckande lösning tycks däremot inte finnas, och en avvägning mellan säkerhet och tillgänglighet är ofta nödvändig.