与保存在 Identity Server 4 浏览器 cookie 中的令牌相关的安全问题
Security issue related to token saved in browser cookie in Identity Server 4
我正在使用 Identity Server 4 版本 3.1.2。我在同一台计算机上使用 Chrome 中的用户信息和 Firefox 中的另一个用户信息登录。如果我复制保存在 Chrome Cookies 中的第一个用户令牌并将其粘贴到 Firefox Cookies(替换为第二个用户令牌)并刷新 Firefox(按 F5),Firefox 登录用户将更改为 Chrome用户,这是一个安全问题。我能做些什么来防止这个问题?
您肯定无法采取任何措施来缓解此问题。您可以检查 user agent header 是否符合您的预期,但随后有人会使用插件伪造用户代理 header,您又回到了原点。所有其他 header 都可以用类似的方式绕过。
(尽管如果您决定信任用户代理 header 那么这就是适合您的解决方案)。
事实证明,检查 IP、套接字、TLS 会话会产生很多问题,根本无法将其视为解决方案。
我正在使用 Identity Server 4 版本 3.1.2。我在同一台计算机上使用 Chrome 中的用户信息和 Firefox 中的另一个用户信息登录。如果我复制保存在 Chrome Cookies 中的第一个用户令牌并将其粘贴到 Firefox Cookies(替换为第二个用户令牌)并刷新 Firefox(按 F5),Firefox 登录用户将更改为 Chrome用户,这是一个安全问题。我能做些什么来防止这个问题?
您肯定无法采取任何措施来缓解此问题。您可以检查 user agent header 是否符合您的预期,但随后有人会使用插件伪造用户代理 header,您又回到了原点。所有其他 header 都可以用类似的方式绕过。
(尽管如果您决定信任用户代理 header 那么这就是适合您的解决方案)。
事实证明,检查 IP、套接字、TLS 会话会产生很多问题,根本无法将其视为解决方案。