Opnieuw inloggen
- Onderwerp starter Dylan
- Startdatum
G
Guest
Guest
Verwijder alle one2xs cookies eens?
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
G
Guest
Guest
Rik (link):
Klik om eerdere quotes te tonen
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
XSS? Mocht het ergens mogelijk zijn...
Klik om eerdere quotes te tonen
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
XSS? Mocht het ergens mogelijk zijn...
Sevvlor (link):
Klik om eerdere quotes te tonen
Rik (link):
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
XSS? Mocht het ergens mogelijk zijn...
Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk.
Klik om eerdere quotes te tonen
Rik (link):
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
XSS? Mocht het ergens mogelijk zijn...
Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk.
Rik (link):
Klik om eerdere quotes te tonen
Sevvlor (link):
Rik (link):
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
XSS? Mocht het ergens mogelijk zijn...
Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk.
Ze zijn al http only en secure only, maar ik meen mij te herinneren dat het geen sluitende beveiliging gaf en er desondanks mogelijkheden waren om de cookies te tonen, al kan ik dat nu niet zo snel meer terugvinden.
Klik om eerdere quotes te tonen
Sevvlor (link):
Rik (link):
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...
Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?
XSS? Mocht het ergens mogelijk zijn...
Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk.
Ze zijn al http only en secure only, maar ik meen mij te herinneren dat het geen sluitende beveiliging gaf en er desondanks mogelijkheden waren om de cookies te tonen, al kan ik dat nu niet zo snel meer terugvinden.
Luuko (link):
Had net ff one2xs weggeklikt.
Moest weer opnieuw inloggen daarna...
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.
Had net ff one2xs weggeklikt.
Moest weer opnieuw inloggen daarna...
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.
G
Guest
Guest
Lennard (link):
Klik om eerdere quotes te tonen
Luuko (link):
Had net ff one2xs weggeklikt.
Moest weer opnieuw inloggen daarna...
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.
Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA.
Klik om eerdere quotes te tonen
Luuko (link):
Had net ff one2xs weggeklikt.
Moest weer opnieuw inloggen daarna...
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.
Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA.
Sevvlor (link):
Klik om eerdere quotes te tonen
Lennard (link):
Luuko (link):
Had net ff one2xs weggeklikt.
Moest weer opnieuw inloggen daarna...
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.
Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA.
Dat zou inderdaad een optie kunnen zijn. Ik zal er binnenkort eens naar kijken, verder lijkt het me goed om over de beveiligingsaspecten niet al teveel informatie te delen.
Klik om eerdere quotes te tonen
Lennard (link):
Luuko (link):
Had net ff one2xs weggeklikt.
Moest weer opnieuw inloggen daarna...
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.
Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA.
Dat zou inderdaad een optie kunnen zijn. Ik zal er binnenkort eens naar kijken, verder lijkt het me goed om over de beveiligingsaspecten niet al teveel informatie te delen.