Sommario:
- Definizione - Cosa significa dirottamento della sessione?
- Techopedia spiega il dirottamento della sessione
Definizione - Cosa significa dirottamento della sessione?
Il dirottamento della sessione si verifica quando un token di sessione viene inviato a un browser client dal server Web in seguito alla corretta autenticazione di un accesso client. Un attacco di dirottamento di sessione funziona quando compromette il token confiscando o indovinando quale sarà una sessione di token autentica, acquisendo così l'accesso non autorizzato al server Web. Ciò può provocare sniffing di sessione, attacchi man-in-the-middle o man-in-the-browser, trojan o persino l'implementazione di codici JavaScript dannosi.
Gli sviluppatori Web sono particolarmente diffidenti nei confronti del dirottamento della sessione poiché i cookie HTTP utilizzati per sostenere una sessione del sito Web possono essere avviati da un utente malintenzionato.
Techopedia spiega il dirottamento della sessione
All'inizio, il protocollo HTTP non supportava i cookie e quindi i server Web e i browser non contenevano il protocollo HTTP. L'evoluzione del dirottamento della sessione è iniziata nel 2000 quando sono stati implementati i server HTTP 1.0. HTTP 1.1 è stato modificato e modernizzato per supportare i super cookie che hanno portato i server Web e i browser Web a diventare più vulnerabili al dirottamento della sessione.
Gli sviluppatori Web possono includere alcune tecniche per evitare il dirottamento di sessione dei loro siti, inclusi i metodi di crittografia e l'utilizzo di numeri casuali lunghi per le chiavi di sessione. Altre soluzioni sono modificare le richieste di valore dei cookie e implementare le rigenerazioni di sessione dopo gli accessi. Firesheep, un'estensione di Firefox, ha consentito attacchi di dirottamento di sessioni di utenti pubblici consentendo l'accesso ai cookie personali. Anche i siti Web dei social network come Twitter e Facebook sono vulnerabili quando gli utenti li aggiungono alle loro preferenze.
