Google Chrome sedang mencoba alternatif untuk cookie autentikasi – Komputer – Berita

Mungkin mubazir, jika Anda tahu persis cara kerja kunci sandi dan autentikasi… tapi mungkin menarik bagi sebagian orang:

Ide baru ini didasarkan pada konsep yang sama dengan kunci sandi (kunci pribadi yang ditautkan berdasarkan domain dan disimpan dengan aman di TPM atau Secure Enclave), namun perbedaan utamanya adalah domain aplikasinya. Anda dapat menggunakan kunci sandi untuk masuk – dengan kata lain: “Hai situs web, saya ingin masuk, ini kunci publik yang saya simpan . Kirimi saya tantangan yang dapat saya gunakan dengan kunci pribadi yang saya gunakan untuk situs ini. Dibuat dan dapat diselesaikan. Jika Anda menyelesaikan tantangan ini, Anda akan masuk.

Tapi apa sebenarnya maksudnya login? Faktanya, tidak lebih atau kurang dari browser Anda mengirimkan token dengan setiap permintaan yang Anda terima dari server setelah server menentukan bahwa kredensial Anda memang valid. Browser kemudian harus mengingat token ini di suatu tempat. Di sinilah cookie (atau terkadang penyimpanan lokal di browser, dalam kasus aplikasi satu halaman) digunakan saat ini. Jika seseorang memiliki akses ke file di hard drive Anda, mereka sendiri dapat membaca dan menggunakan cookie ini. Inilah sebabnya komentator lain berbicara tentang bypass otentikasi dua faktor.
Sebelumnya, hal ini juga dapat dilakukan dengan menyuntikkan JavaScript berbahaya ke dalam situs web (serangan skrip lintas situs), karena browser tidak membedakan antara “Ini adalah cookie dengan token yang hanya berguna untuk server” versus “Ini adalah a cookie dengan token Unggulan Berguna hanya untuk server “Cookie dengan informasi yang disimpan secara lokal”. Saat ini, Anda dapat menggunakan tanda “HttpOnly” untuk menunjukkan bahwa cookie tidak boleh diekspos ke JavaScript… Siapa pun dapat menebak apakah semua pengembang melakukan ini benar Benar, tetapi pengembang mana pun yang peduli dengan keamanan akan menerapkan ini.

Apa yang dilakukan oleh proposal ini sebenarnya adalah memperluas konsep di balik kunci sandi ke token sesi. Jika saya memahaminya dengan benar (dan jika saya benar, Anda hanya membaca artikel T.net, belum sumbernya) ia tidak akan menyimpan token, tetapi menghasilkan pasangan kunci publik/pribadi, dan mengirimkan kunci publik ke server. Alih-alih mengirimkan header cookie, server secara kriptografis menandatangani setiap permintaan dengan kunci publik ini, sehingga server dapat memvalidasi permintaan dengan kunci pribadi terkait bahwa permintaan tersebut sebenarnya berasal dari Anda.

Tidak seperti kunci sandi, kunci DBSC ini juga terikat pada satu sistem, dan Anda tidak dapat memindahkannya ke perangkat lain. Jika Anda ingin masuk di perangkat lain, Anda harus memberikan kredensial Anda (nama pengguna, kata sandi, 2fa, kunci sandi) lagi dan Anda akan menerima sesi baru.

[Reactie gewijzigd door multiplexer op 3 april 2024 12:18]