[Sicurezza] Associare cookie a IP per evitare Cross site scripting

[angykiss]

Articolo wikipedia: http://en.wikipedia.org/wiki/XSS#Type_2

Per riconoscere gli utenti utilizzo un cookie contenente il nome utente e un codice random generato al login e salvato nel DB. Credevo fosse una cosa sicura!
Poi scopro che è possibile, da pagine interne al dominio, leggere i cookie degli utenti che passano. Il programma è una piattaforma di blog, quindi un javascript è tranquillamente inseribile da ogni utente che, a questo punto, potrebbe leggere i cookie di tutti i suoi visitatori. Compreso il codice random. Ricreando quindi il cookie sul suo pc con il codice random rubato, potrebbe loggarsi tranquillamente.

Come soluzione ho adottato la più ovvia: se cambia l'ip (lo salvo nel db al momento del login) la il cookie nonè più valido.
Ovviamente, i nostri utenti ora devono ri-loggarsi ogni volta che si connettono, se hanno una normale connessione a ip dinamico.

E' davvero l'unica soluzione? O c'è qualcosa di altrettanto sicuro ma meno invasivo?
Grazie in anticipo

[luca200]

Originariamente inviato da angykiss
Ovviamente, i nostri utenti ora devono ri-loggarsi ogni volta che si connettono, se hanno una normale connessione a ip dinamico.

Non solo.
Se si trovano dentro una rete molto grande con più proxy, rischiano di trovarsi sloggati a piacere

[angykiss]

Sì, beh, l'elenco degli inconvenienti non risolve il problema però ^^''

[mark2x]

Ma questo è un problema di log-in: che c'entrano gli XSS??

Inoltre, per:

Poi scopro che è possibile, da pagine interne al dominio, leggere i cookie degli utenti che passano.

Immagino che intendessi che tramite sniffer è possibile intercettare il traffico di rete (LAN). Giusto?
Se quindi la tua paura è questa, il controllo dell'IP è assolutamente inutile, in quanto, sempre all'interno di una stessa organizzazione (LAN), in genere* il gateway è uno e tutti "escono" con lo stesso IP.

(*) non nego ciò che dice luca200, solo dico che --in genere-- l'IP è uno.

Quindi: il controllo dell'IP dà falsi positivi e falsi negativi. In genere in pratica non serve ad un fico secco

[angykiss]

Originariamente inviato da mark2x
Immagino che intendessi che tramite sniffer è possibile intercettare il traffico di rete (LAN). Giusto?

No; mi è stato detto che inserendo un javascript (nel proprio blog, ad esempio, cosa che è possibile fare) è possibile anche "leggere" i cookie dei visitatori (dovrebbero essere leggibili perchè nello stesso diminio www.xxx.com). Dunque, la domanda principale è: è vero?

Dalla pagina di wikipedia
Type 2 Attack
1. Bob hosts a web site which allows users to post messages and other content to the site for later viewing by other members.
2. Mallory notices that Bob's website is vulnerable to a type 2 XSS attack.
3. Mallory posts a message, controversial in nature, which may encourage many other users of the site to view it.
4. Upon merely viewing the posted message, site users' session cookies or other credentials could be taken and sent to Mallory's webserver without their knowledge.
5. Later, Mallory logs in as other site users and posts messages on their behalf....
Type 2 Attack

[chris]

basta impedire agli utenti di inserire codice html...

[mark2x]

Ora l'arcano del tuo post si è chiarito.
Certo, verissimo, ma solo se sei una fagiana nel programmare

Leggi qui: http://forum.html.it/forum/showthrea...hreadid=951844

[angykiss]

Ok, ho letto (lo conoscevo già). Esattamente in cosa ho sbagliato? Perchè non lo trovo. Di cookie non si parla.

[angykiss]

Originariamente inviato da chris
basta impedire agli utenti di inserire codice html...

Ho detto all'inizio: è una piattaforma di blog. Impedire di scriversi l'html della pagina (javascript inclusi) sarebbe come un ristorante che impedisce ai clienti di mangiare.

[skidx]

Originariamente inviato da chris
basta impedire agli utenti di inserire codice html...

nelle piattaforme per blog è praticamente impossibile, l'utente ha sempre la possibilità di formattare i post a mano in html puro.