Безопасная аутентификая пользователей без сессий?

Question

Александр @ARAmiss

Безопасная аутентификая пользователей без сессий?

Здравствуйте.
Интересует, есть ли безопасный вариант аутентификации пользователей без сессий?
Нагуглил, что есть jwt. Но при краже токена злоумышленник может пользоваться учётной записью в пределах срока жизни access token.
Есть что-то безопаснее?

Вопрос задан более трёх лет назад
420 просмотров

8 комментариев

Подписаться 3 Простой 8 комментариев

Евгений Ромашкан @EvgeniiR

Интересует, есть ли безопасный вариант аутентификации пользователей без сессий?
Нагуглил, что есть jwt. Но при краже токена злоумышленник может пользоваться учётной записью в пределах срока жизни access token.

При краже id сессии злоумышленник так же может пользоваться учётной записью в пределах срока жизни сессии.
А вообще - cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt...

Написано более трёх лет назад
Александр @ARAmiss Автор вопроса

Да, но кража сессий происходит на стороне сервера (или не только?). Так что в этом случае ничего не поможет. Интересует именно клиентская часть.

Написано более трёх лет назад
Евгений Ромашкан @EvgeniiR

Александр,
Да, но кража сессий происходит на стороне сервера (или не только?). Так что в этом случае ничего не поможет. Интересует именно клиентская часть.

Разберитесь как сессии работают. На клиенте всегда будут данные по которым вы его аутентификацируете и их всегда можно подделать.

Написано более трёх лет назад
ThunderCat @ThunderCat

Александр, Прежде чем искать решение несуществующей проблемы, возможно стоит изучить в чем может быть проблема (и есть ли она вообще). А искать решение для проблемы которую озвучил ваш "очень крутой друг хакер из старшего класса", даже не разобравшись в вопросе, как минимум не зрело и не профессионально. Ну или к вопросу добавьте аргументацию - хочу сменить это на вот это, по тому что гладиолус...

Написано более трёх лет назад
Александр @ARAmiss Автор вопроса

Евгений Ромашкан, разобрался. Вы правы, моё сравнение с сессией неудачное. Тогда вопрос сводится к тому, можно ли на 100% точно определить угнан или нет токен, пришедший от клиента (не важно хранится он у него в cookies или ls)?

Написано более трёх лет назад
Александр @ARAmiss Автор вопроса

ThunderCat, проблема может быть в получении доступа к персональным данным пользователей третьими лицами.
Я не профессионал, а Вы, надеюсь, да. Вот у Вас и спрашиваю. С задачей написания личного кабинета раньше не сталкивался. В руки попадались сайты с уже написанным кабинетом, и все были на сессиях. Сейчас нужно хранить аутентифицированного пользователя дольше, чем время жизни сессии. Начал изучать вопрос, и оказалось, что jwt - хороший вариант, за исключением того, что токен могут увести. Это гугление, а не мои придумки. Таких тем как эта полно. Но так и не нашёл полностью безопасный способ аутентификации пользователя.

Написано более трёх лет назад
ThunderCat @ThunderCat

Александр,
за исключением того, что токен могут увести.
Еще раз - ВСЕ могут увести, все к чему может дотянуться яваскрипт (а он может дотянуться практически до всего что можно отправить в качестве ключа серверу) может быть скомпрометировано на стороне клиента. Это не ваша проблема, и это не проблема сервиса, по крайней мере если сервис обезопасил приложение от внешних вредоносных скриптов ЧЕРЕЗ САЙТ. Ничего не гарантирует защиты пользователя от действия третьих лиц, например левых плагинов в браузере, вирусов, подсмотренных паролей в браузере, просто тупо бумажки с логином и паролем на столе... Но все это не проблемы безопасности сервиса, это персональная защита данных, которую должен обеспечить пользователь самостоятельно. Все проблемы которые вы себе придумали (и в частности короткие сессии, которые кроме того что регулируются программно, еще и могут быть дублированы каким-то ключом в куках, как сделано на многих сайтах, где есть галочка "запомнить меня") в основном к вам как к разработчику никак не относятся.

Написано более трёх лет назад
Александр @ARAmiss Автор вопроса

ThunderCat, спасибо за развёрнутый ответ!

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 4

4 комментария

Александр @ARAmiss Автор вопроса

Хотелось бы, чтобы на стороне клиента нельзя было подделать данные (например, токен). Jwt украли и всё тут. Да, можно с вместе токеном хранить на сервере юзер агент и прочее, но это тоже подделывается.

Написано более трёх лет назад
FanatPHP @FanatPHP

Что значит подделать?
Что значит украли? Как именно?
Какой конкретно сценарий атаки в данном случае отрабатывается?
Чем сессия не устраивает?

Написано более трёх лет назад
Robur @Robur

Александр, Если у вас подразумевается что у клиента можно данные просто "украсть и все тут" - то никак.
Только аутентификация по видеозвонку менеджеру и то это не 100%.

Ну, можно придумать аппаратную защиту какую-нибудь со скремблингом пакетов, но если бы у вас такие задачи стояли, вы бы не писали о них на тостере.

Написано более трёх лет назад
Александр @ARAmiss Автор вопроса

FanatPHP, выше ThunderCat привёл пару примеров кражи токена: "действия третьих лиц, например левых плагинов в браузере, вирусов". И ThunderCat верно заметил, что это будет вина пользователя. Вопрос, можно ли в этом случае 100% понять, что этот краденый (но ещё валидный токен) используется не тем, кому он выписан?
Сессии не устраивают сроком жизни.

Написано более трёх лет назад

1 комментарий

2 комментария

Александр @ARAmiss Автор вопроса

Спасибо за развёрнутый ответ!

Я правильно понимаю, что Ваш метод отличается от jwt тем, что там подпись основывается на хэше заголовка и полезной нагрузки, а у Вас на хэше fingerprint'а?

Вопросы по пунктам:
1)
отпечаток клиента (fingerprint)

Fingerprint получается с помощью какой-то js библиотеки? Что бы Вы посоветовали?

шифруется парольным хешем пользователя

Пароль берём из формы аутентификации, куда пользователь его вводит, получаем его хэш (любой функцией?) и с его помощью шифруем (чем лучше шифровать?) fingerprint, верно?

Все операции первого пункта происходят на клиенте? Видимо, с помощью какой-то js библиотеки?

2)
Сервер открывает своим приватным ключом пакет

Имеется ввиду, расшифровывает тем же публичным ключом, что пользователь зашифровывал?

Написано более трёх лет назад
xmoonlight @xmoonlight

Александр, ой...
Вы ничего не понимаете (как бы грустно это не звучало).
Могу сказать, что:
1. Либа - fingerprint2.js (гуглите)
2. Почитайте на википедии про синхронное и асинхронное шифрование и обмен ключами, чтобы понимать принцип работы.
3. Мой метод основывается на том, чем пользуются сейчас банки и крупные мировые платёжные системы.
А именно: комплексная проверка клиентских данных при любых операциях через мобильный терминал (без посещения офиса): данные аутентификации, данные клиента взаимодействия (ПО: браузер и т.д.), данные сессии при её миграции/роуменге по разным подсетям/геолокациям (мобильное устройство клиента), используя все известные вычисленные данные (кроме данных авторизации!) после этапа авторизации.
Разница с jwt, надеюсь, понятна.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Фронтенд

+1 ещё

Простой
Как понять токен рефрешится или нет?
- 1 подписчик
- 11 апр.
- 60 просмотров
1

ответ
Java

+2 ещё

Простой
Как создать jwt токен и подписать его приватным сертификатом по алгоритму RSA?
- 1 подписчик
- 04 апр.
- 74 просмотра
1

ответ
Linux

+2 ещё

Простой
Чем конвертировать TLS в JWT токен (tls2jwt)?
- 1 подписчик
- 28 мар.
- 92 просмотра
2

ответа
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 80 просмотров
2

ответа
Идентификация пользователей

+2 ещё

Средний
Что использовать для распознавания диктора?
- 1 подписчик
- 19 мар.
- 31 просмотр
0

ответов
JSON Web Token

Средний
Как настроить аутентификацию в NATS WebSocket по JWT токенам?
- 1 подписчик
- 17 мар.
- 71 просмотр
0

ответов
Node.js

+3 ещё

Сложный
Как настроить авторизацию на Freeradius для captive portal с разделением на user и admin?
- 1 подписчик
- 15 мар.
- 45 просмотров
0

ответов
Django Rest Framework

+1 ещё

Простой
Как правильно решить ошибку с RefreshToken?
- 1 подписчик
- 11 мар.
- 78 просмотров
0

ответов
Apache HTTP Server

+1 ещё

Простой
Как задать ограничение одному пользователю в basic auth?
- 1 подписчик
- 09 мар.
- 29 просмотров
0

ответов
WordPress

+1 ещё

Средний
Как сделать раздельную регистрацию на WordPress?
- 1 подписчик
- 07 мар.
- 70 просмотров
1

ответ
Показать ещё Загружается…

Senior ML Engineer (Computer Vision)

Gradient

от 450 000 ₽

Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)

MYRTEX

от 40 000 ₽

Разработчик Vue.js

Кортекс

от 60 000 до 100 000 ₽

Скопировать сайт

19 апр. 2024, в 17:06

15000 руб./за проект

Поправить пхп скрипт

19 апр. 2024, в 16:53

1000 руб./за проект

Требуется настройка Яндекс Директа

19 апр. 2024, в 16:45

5000 руб./за проект

Интересует, есть ли безопасный вариант аутентификации пользователей без сессий?
Нагуглил, что есть jwt. Но при краже токена злоумышленник может пользоваться учётной записью в пределах срока жизни access token.

При краже id сессии злоумышленник так же может пользоваться учётной записью в пределах срока жизни сессии.
А вообще - cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt...
Да, но кража сессий происходит на стороне сервера (или не только?). Так что в этом случае ничего не поможет. Интересует именно клиентская часть.
Александр,
Да, но кража сессий происходит на стороне сервера (или не только?). Так что в этом случае ничего не поможет. Интересует именно клиентская часть.

Разберитесь как сессии работают. На клиенте всегда будут данные по которым вы его аутентификацируете и их всегда можно подделать.
Александр, Прежде чем искать решение несуществующей проблемы, возможно стоит изучить в чем может быть проблема (и есть ли она вообще). А искать решение для проблемы которую озвучил ваш "очень крутой друг хакер из старшего класса", даже не разобравшись в вопросе, как минимум не зрело и не профессионально. Ну или к вопросу добавьте аргументацию - хочу сменить это на вот это, по тому что гладиолус...
Евгений Ромашкан, разобрался. Вы правы, моё сравнение с сессией неудачное. Тогда вопрос сводится к тому, можно ли на 100% точно определить угнан или нет токен, пришедший от клиента (не важно хранится он у него в cookies или ls)?
ThunderCat, проблема может быть в получении доступа к персональным данным пользователей третьими лицами.
Я не профессионал, а Вы, надеюсь, да. Вот у Вас и спрашиваю. С задачей написания личного кабинета раньше не сталкивался. В руки попадались сайты с уже написанным кабинетом, и все были на сессиях. Сейчас нужно хранить аутентифицированного пользователя дольше, чем время жизни сессии. Начал изучать вопрос, и оказалось, что jwt - хороший вариант, за исключением того, что токен могут увести. Это гугление, а не мои придумки. Таких тем как эта полно. Но так и не нашёл полностью безопасный способ аутентификации пользователя.
Александр,
за исключением того, что токен могут увести.
Еще раз - ВСЕ могут увести, все к чему может дотянуться яваскрипт (а он может дотянуться практически до всего что можно отправить в качестве ключа серверу) может быть скомпрометировано на стороне клиента. Это не ваша проблема, и это не проблема сервиса, по крайней мере если сервис обезопасил приложение от внешних вредоносных скриптов ЧЕРЕЗ САЙТ. Ничего не гарантирует защиты пользователя от действия третьих лиц, например левых плагинов в браузере, вирусов, подсмотренных паролей в браузере, просто тупо бумажки с логином и паролем на столе... Но все это не проблемы безопасности сервиса, это персональная защита данных, которую должен обеспечить пользователь самостоятельно. Все проблемы которые вы себе придумали (и в частности короткие сессии, которые кроме того что регулируются программно, еще и могут быть дублированы каким-то ключом в куках, как сделано на многих сайтах, где есть галочка "запомнить меня") в основном к вам как к разработчику никак не относятся.
ThunderCat, спасибо за развёрнутый ответ!

Answer 1 · 2019-12-05 14:40:47

На вопрос, взятый с потолка, редко можно плучить осмысленный ответ.
Спрашивая, "есть ли что-то безопаснее" необходимо сформулировать критерии безопасности.
Спрашивая, как сделать идентификацию пользователей "без сессий", необходимо пояснять, почему именно без сессий.

Answer 2 · 2019-12-05 17:06:29

Ну вот как раз таки JWT у вас угонят и вы не узнаете, а сессию вполне себе можно привязать к юзерагенту/ip/чему угодно на серверной стороне. Хотя и в JWT можно это вписать, но проще уж с сессиями тогда.

А так кроме сессий никаких авторизаций больше и нет как класс. В любом случае что-то в браузере хранится что сервер может распознать, и это есть "сессия".

Answer 3 · 2019-12-05 14:34:36

Владимир Скибин @megafax

web-программист

https://gist.github.com/zmts/802dc9c3510d79fd40f9d...
умейте пользоваться поиском тут

Ответ написан более трёх лет назад

1 комментарий

Answer 4 · 2019-12-06 17:25:38

Токен привязывется к браузеру.
Как именно?
1. При аутентификации, отпечаток клиента (fingerprint) шифруется парольным хешем пользователя (на стороне клиента!) и сверху, "оборачивается": шифруется публичным ключом сервера, и затем, пересылается серверу.
2. Сервер открывает своим приватным ключом пакет, расшифроввывает с помощью своего парольного хеша (для этого конкретного юзера, из БД), и получает данные fingerprint.
3. Сервер привязывает данные fingerprint к токену и отправляет токен и функцию хеширования fingerprint'а клиенту.
4. При каждом запросе, клиент отправляет свой токен и подписываем запрос хешем fingerprint'а.
5. Сервер сверяет токен и подпись запроса (хешем fingerprint'а).
6. При их несовпадении - токен становится невалидным (сессия завершается).

Чтобы сохранить хеш fingerprint'а ещё более надёжно, его можно привязать к IP-адресу.
При смене IP - произойдёт "прозрачная" переинициализация сессии (и с запросом реального fingerprint'а клиента), незаметная для конечного пользователя (если у него валидный токен для вновь определённого fingerprint'а).

При краже кук или перехватие трафика - злоумышленник не знает реального fingerprint.
А без него - он не сможет подделать подпись, чтобы воспользоваться текущим токеном.

Безопасная аутентификая пользователей без сессий?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт