制作一个安全的登录cookie

Question

我最近读过杰夫的articles about XSS之一，它让我开始思考如何更好地保护登录的Cookie在我家煮的认证系统。

基本上我现在要做的是这（注意，一切都是可配置的，目前设定为true）：

 protected static string ComputeLoginHash(string passwordhash){ 
     StringBuilder sb=new StringBuilder(); 
     sb.Append(passwordhash); 
     if(CookieUseIP){ 
      sb.Append(HttpContext.Current.Request.UserHostAddress); 
     } 
     if(CookieUseBase){ 
      sb.Append(HttpContext.Current.Request.MapPath("/")); 
     } 
     if(CookieUseBrowserInfo){ 
      sb.Append(HttpContext.Current.Request.UserAgent); 
     } 
     sb.Append(SiteName); 
     return ComputeHash(sb.ToString()); 
    } 

（注意passwordhash是做出来的密码，独特的盐，和用户名）。

好，做的东西有问题我做的一个是使用UserAgent字符串。这样做有害吗？或者在正常操作下更改其UserAgent字符串的浏览器（如在，未更新）？我的目标基本上是攻击者获取登录cookie，因为他们无法对此做任何事情。这有助于实现我的目标，还是对用户来说过于麻烦？目前，我在cookie纯文本中存储的唯一信息是用户名。

Answer 1

首先你不应该写自己的会话处理程序。你正在重新发明轮子，它会变得不那么安全。

如果ComputeLoginHash()正在产生一个cookie值，那么你的大问题在你的手上。攻击者可以从数据库获取用户名/密码哈希，然后通过将哈希函数传递给它来构建一个cookie值。这将允许攻击者无需破解密码即可登录。实际上，您完全消除了散列密码提供的保护。

cookie的值必须始终为cryptographic nonce，此值必须到期（不到一天的时间还是不错的。）。为了增加安全性，启用http-only cookies这有助于阻止xss。同时设置sts-header以强制执行https并转而处理OWASP A9。另外，请不要忘记session riding。此外，检查用户代理绝对没有意义，因为这是一个攻击者控制的变量。