Adres URL https z parametrem tokena: czy jest bezpieczny?

Na naszej stronie udostępniamy użytkownikom symulację opartą na ich prywatnych informacjach (podanych w formularzu). Chcielibyśmy pozwolić im później wrócić do wyników symulacji, ale bez zmuszania ich do tworzenia konta z loginem / hasłem.

Pomyśleliśmy o wysłaniu im e-maila z linkiem, z którego mogliby uzyskać wyniki. Ale oczywiście musimy zabezpieczyć ten adres URL, ponieważ w grę wchodzą prywatne dane.

Dlatego zamierzamy przekazać token (taki jak 40-znakowa kombinacja liter i cyfr lub skrót MD5) w adresie URL i użyć SSL.

Wreszcie otrzymaliby taki e-mail:

Cześć,
Odzyskaj swoje wyniki na https://www.example.com/load_simulation?token=uZVTLBCWcw33RIhvnbxTKxTxM2rKJ7YJrwyUXhXn

Co o tym myślisz? Czy jest wystarczająco bezpieczny? Co byś mi doradził przy generowaniu tokenów? A co z przekazywaniem parametrów adresu URL w żądaniu https?

SSL będzie chronić parametry zapytania podczas przesyłania; Jednak e-mail sam w sobie nie jest bezpieczny, a e-mail może odbijać się wzdłuż dowolnej liczby serwerów, zanim dotrze do miejsca docelowego.

W zależności od serwera WWW pełny adres URL może zostać zarejestrowany w plikach dziennika. W zależności od wrażliwości danych możesz nie chcieć, aby pracownicy IT mieli dostęp do wszystkich tokenów.

Ponadto adres URL z ciągiem zapytania zostanie zapisany w historii użytkownika, umożliwiając innym użytkownikom tego samego komputera dostęp do adresu URL.

Wreszcie, co sprawia, że ​​jest to bardzo niebezpieczne, adres URL jest wysyłany w nagłówku Referer wszystkich żądań dowolnego zasobu, nawet zasobów stron trzecich. Więc jeśli korzystasz na przykład z Google Analytics, wyślesz Google token adresu URL i wszystkie do nich.

Moim zdaniem to zły pomysł.

Użyłbym do tego ciasteczka. Przepływ pracy powinien wyglądać następująco:

1. Użytkownik odwiedza Twoją witrynę po raz pierwszy.
2. Witryna ustawia plik cookie
3. Użytkownik wprowadza dane. Dane są przechowywane w bazie danych za pomocą klucza przechowywanego w pliku cookie.
4. Kiedy użytkownik odchodzi, wysyłasz mu e-mail z linkiem https:
5. Kiedy użytkownik wraca, witryna odkrywa plik cookie i może przedstawić użytkownikowi stare dane.

Teraz użytkownik chce użyć innej przeglądarki na innym komputerze. W takim przypadku zaoferuj przycisk „transfer”. Gdy użytkownik kliknie ten przycisk, otrzyma „token”. Może użyć tego tokena na innym komputerze, aby zresetować plik cookie. W ten sposób użytkownik decyduje, w jakim stopniu chce przenieść token.

SSL zabezpiecza zawartość przesyłanych danych, ale nie mam pewności co do adresu URL.

Niezależnie od tego, jednym ze sposobów na ograniczenie możliwości ponownego wykorzystania przez atakującego tego tokenu adresu URL jest upewnienie się, że każdego tokenu można użyć tylko raz. Możesz nawet ustawić plik cookie, aby legalny użytkownik mógł nadal korzystać z łącza, ale po pierwszym dostępie będzie on działał tylko dla osoby posiadającej plik cookie.

Jeśli e-mail użytkownika zostanie przejęty, a osoba atakująca otrzyma łącze jako pierwsza, cóż, jesteś w błędzie. Ale użytkownik ma też większe problemy.

Poczta e-mail jest z natury niebezpieczna. Jeśli ktoś może kliknąć to łącze i uzyskać dostęp do danych, tak naprawdę ich nie chronisz.

Cóż, token jest bezpieczny podczas przesyłania przez SSL. Problem, który będziesz mieć, polega na tym, że jest on dostępny dla ludzi (tych, dla których nie jest przeznaczony), dzięki możliwości przeglądania adresu URL.

Jeśli są to informacje prywatne, takie jak SSN, nie sądzę, żebym wysyłał adres URL pocztą e-mail. Wolałbym, żeby utworzyli nazwę użytkownika i hasło do witryny. Zbyt łatwo jest sfałszować wiadomość e-mail zawierającą takie informacje dla Ciebie i dla nich. Jeśli czyjeś konto jest sfałszowane, pojawi się pytanie, czyja to naprawdę wina. Im bezpieczniejszy, tym lepszy jesteś ze ścisłego punktu widzenia CYA.

Naprawdę nie uważałbym tego za wystarczająco bezpieczne w sytuacji, w której występują poważne problemy z prywatnością. Fakt, że wysyłasz adres URL w wiadomości e-mail (prawdopodobnie w postaci zwykłego tekstu), jest zdecydowanie najsłabszym łączem. Następnie pojawia się ryzyko ataków siłowych na tokeny, które (bez struktury prawdziwego mechanizmu uwierzytelniania) mogą być bardziej podatne na ataki niż dobrze skonstruowana nazwa użytkownika i konfiguracja hasła.

Nawiasem mówiąc, nie ma żadnych problemów z parametrami w żądaniu https.

W obecnej sytuacji byłby to zły pomysł. Łatwe użytkowanie zwiększy bezpieczeństwo. Jak powiedziano wcześniej, SSL będzie chronić tylko przesyłanie informacji między serwerem a przeglądarką klienta i zapobiegnie tylko atakowi pośrednika. E-maile są bardzo ryzykowne i niepewne.

Najlepszym rozwiązaniem byłoby uwierzytelnienie nazwy użytkownika i hasła w celu uzyskania dostępu do informacji.

Mniej więcej podoba mi się pomysł na ciasteczka. Powinieneś również zaszyfrować informacje o plikach cookie. Powinieneś także wygenerować token z solą i frazą kluczową oraz $ _SERVER ['HTTP_USER_AGENT'], aby ograniczyć prawdopodobieństwo ataku. Przechowuj jak najwięcej niewrażliwych informacji o kliencie w pliku cookie w celu weryfikacji.

Frazę kluczową można zapisać w pliku cookie w celu łatwego użycia, ale należy pamiętać, że również plik cookie może zostać skradziony = (.

Lepiej pozwól klientowi wpisać podaną przez siebie frazę kluczową, która jest również przechowywana w bazie danych wraz z jego danymi.

Lub klucza można użyć w przypadku, gdy osoba korzysta z innej maszyny, która różni się parametrami $ _SERVER ['HTTP_USER_AGENT'] lub po prostu nie ma pliku cookie. Tak więc plik cookie można przenieść lub ustawić.

Upewnij się również, że poufne dane są zaszyfrowane w bazie danych. Nigdy nie wiesz ;)

Czy zdajesz sobie sprawę, że jeśli jakikolwiek haker uzyska dostęp do Twojej bazy danych, możesz swobodnie przekazać wiele osobistych informacji?

Potem powiedziałbym, że to nie jest zły pomysł. Nie użyłbym MD5 ani SHA1, ponieważ nie są one zbyt bezpieczne do mieszania. Można je dość łatwo „odszyfrować” (wiem, że to nie jest szyfrowanie).

W przeciwnym razie może użyłbym drugiej informacji, która nie byłaby przesłana e-mailem jako hasło. Powód jest dość prosty, jeśli ktoś uzyska dostęp do poczty elektronicznej użytkownika (całkiem łatwe w przypadku hotmaila, jeśli nie zabijesz sesji), będzie miał dostęp do wszelkich informacji, które wysłał użytkownik.

Pamiętaj, że HTTPS zabezpiecza i szyfruje dane wysyłane z Twojej witryny do użytkownika końcowego. Nic więcej, potraktuj to jako bezpieczny tunel. Nic więcej ani mniej.

Z tego, co rozumiem o twoim pomyśle, teoretycznie ktoś mógłby wpisać losowy ciąg 40 znaków lub skrót MD5 i uzyskać informacje o kimś innym. Chociaż może to być mało prawdopodobne, wystarczy, że zdarzy się to tylko raz.

Lepszym rozwiązaniem może być wysłanie użytkownikowi tokena, a następnie poproszenie go o wprowadzenie niektórych szczegółów, takich jak imię i nazwisko, kod pocztowy, ssn lub ich kombinacja.