시큐어 쿠키

Secure cookie

시큐어 쿠키는, 시큐어 어트리뷰트가 설정되어 있는 HTTP 쿠키의 일종으로, 쿠키의 범위를 「시큐어」채널로 제한합니다(여기서 「시큐어」는 유저 에이전트(통상은 Web 브라우저)[1]에 의해서 정의됩니다).cookie에 Secure Atribute가 설정되어 있는 경우 사용자 에이전트는 요구가 시큐어 채널(통상은 HTTPS)[1]을 통해 전송되는 경우에만 HTTP 요구에 쿠키를 포함합니다.보안 속성은 활성 네트워크 공격자로부터 쿠키를 보호하는 데 유용하지만 쿠키의 기밀성만 보호합니다.활성 네트워크 공격자는 안전하지 않은 채널의 Secure cookie를 덮어쓰고 무결성을 손상시킬 수 있습니다.이 문제는 공식적으로 취약한 [1]무결성이라고 불립니다.단, Chrome 52 이상 및 Firefox 52 이상을 포함한 일부 브라우저는 보안을 강화하기 위해 이 사양을 폐지하고 안전하지 않은 사이트(HTTP)가 cookie를 설정하는 것을 금지하고 있습니다.Secure지시.[2]

와 함께라도Secure일부 소스에서는 중요한 정보는 본질적으로 안전하지 않고 이 플래그가 실질적인 [2]보호를 제공할 수 없다는 전제 하에 쿠키에 저장하지 않도록 권장합니다.시큐어 어트리뷰트는 쿠키의 보호 메커니즘뿐만이 아닙니다.HttpOnly 어트리뷰트와 SameSite 어트리뷰트도 있습니다.HttpOnly 애트리뷰트는 JavaScript 의 cookie에 대한 접근을 제한합니다.SameSite 애트리뷰트는 요구가 같은 도메인에서 발신된 경우에만 cookie를 응용 프로그램으로 전송할 수 있습니다.

배경

HTTP 쿠키는 웹 서버에서 사용자의 웹 브라우저로 전송되는 작은 데이터[3] 패킷입니다.쿠키에는 다음 두 가지 유형이 있습니다.

  • 영구 쿠키 - 사용자의 브라우저에 정보를 장기간 저장하는 쿠키입니다.
  • 비영구 쿠키 - 일반적으로 브라우저를 닫을 때 만료되는 쿠키입니다.

쿠키에는 HTTP 연결을 통해 전송되며 웹 브라우저에 일반 텍스트로 저장되는 암호 및 신용카드 번호 등의 중요한 정보가 포함될 수 있습니다.공격자가 이 정보를 도용하는 것을 방지하기 위해 쿠키를 속성으로 보호할 수 있습니다.

쿠키 도난 및 납치

다양한 쿠키 하이잭 기법이 존재합니다.[4]이러한 방법은 구현이 어렵지 않으며 사용자나 조직에 큰 피해를 줄 수 있습니다.사용자 이름, 비밀번호 및 세션 식별자 등의 중요한 정보를 포함하는 쿠키는 사이트에서 웹 브라우저로 다운로드하거나 컴퓨터 하드 드라이브를 [5]통해 액세스한 후 이러한 도구를 사용하여 캡처할 수 있습니다.

네트워크의 위협

암호화되지 않은 채널을 통해 전송되는 쿠키는 도청될 수 있습니다. 즉, 공격자가 쿠키의 내용을 읽을 수 있습니다.이러한 유형의 위협은 서버 및 인터넷 브라우저에서 Secure Sockets Layer 또는 SSL 프로토콜을 사용하여 방지할 수 있습니다. 단,[6] 이는 쿠키가 네트워크에 있는 경우에만 작동합니다.교환되는 [7]데이터 페이로드 전체가 아닌 중요한 정보만 암호화된 쿠키를 사용할 수도 있습니다.

시스템 위협 종료

사용자로부터 쿠키를 훔치거나 복사할 수 있으며, 이를 통해 쿠키의 정보가 노출되거나 공격자가 쿠키의 내용을 편집하고 사용자를 가장할 수 있습니다.이 문제는 브라우저의 엔드 시스템에 있으며 로컬 드라이브 또는 메모리에 클리어 텍스트로 저장된 쿠키를 사용자가 [6]알지 못하거나 컴퓨터 간에 변경하거나 복사할 때 발생합니다.

쿠키 수확

공격자는 사용자의 쿠키를 수락하여 웹 사이트를 가장할 수 있습니다.공격자는 쿠키를 얻으면 이러한 수집된 쿠키를 타사 쿠키를 허용하는 웹 사이트에 사용할 수 있습니다.이 위협의 예로는 이른바 사이트 간 스크립팅 공격이 있습니다.이 공격에는 악의적인 [8]의도를 가진 사용자가 제공한 데이터를 표시하는 웹 사이트의 취약성이 악용됩니다.예를 들어 공격자는 토론 포럼, 메시지 게시판 또는 전자 메일에 게시한 URL에 스크립트를 포함할 수 있으며, 이 URL은 대상이 [8]하이퍼링크를 열 때 활성화됩니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c Barth, A. (April 2011). "RFC 6265 - HTTP State Management Mechanism". IETF RFC.
  2. ^ a b "HTTP cookies". MDN Web Docs. Retrieved 2018-10-06.
  3. ^ Bortz, Andrew; Barth, Adam; Czeskis, Alexei. "Origin Cookies: Session Integrity for Web Applications" (PDF). Archived (PDF) from the original on 2018-05-13. Retrieved 2018-05-13.
  4. ^ Zheng, Xiaofeng; Jiang, Jian; Liang, Jinjin; Duan, Haixin; Chen, Shuo; Wan, Tao; Weaver, Nicholas (2016-08-12). Cookies Lack Integrity: Real-World Implications (PDF). Proceedings of the 24th USENIX Security Symposium. ISBN 978-1-931971-232. Archived (PDF) from the original on 2018-05-13. Retrieved 2018-05-13.
  5. ^ Dubrawsky, Ido (2009). CompTIA Security+ Certification Study Guide: Exam SY0-201 3E. Burlington, MA: Syngress. p. 105. ISBN 9781597494267.
  6. ^ a b Atluri, Vijay; Hale, John (2013). Research Advances in Database and Information Systems Security. Berlin: Springer Science+Business Media, LLC. pp. 52. ISBN 9781475764116.
  7. ^ Benantar, Messaoud (2006). Access Control Systems: Security, Identity Management and Trust Models. Heidelberg: Springer Science+Business Media. pp. 127. ISBN 9780387004457.
  8. ^ a b Jajodia, Sushil; Wijesekera, Duminda (2005). Data and Applications Security XIX. Berlin: Springer Science & Business Media. pp. 317. ISBN 9783540281382.

외부 링크