Slik skjedde innbruddet hos spill-leverandøren EA

[Harald Brombach (digi.no)]

Slik skjedde innbruddet hos spill-leverandøren EA

[Mats Magnem]

Jøsses, hva for verdier er det som blir lagt i cookies? Og hvorfor?

[belsebobb]

Veldig mye faktisk. Iom at web baserte tjenester ofte er stateless, så lagrer man en autentiserings cookie som inneholder en nøkkel. Denne nøkkelen gjør at man slipper å autentisere seg hver gang man kommuniserer med en tjeneste. De kommuniserer da med serverens autentiserings token.

Du har også sikkert sett 'husk meg' når du logger inn. Samme greia.

Så de er rimelig viktige. Vanligvis varer de ikke evig og man kan begrense utløpsdato og sette andre verdier som gjør at de blir sikrere mot nettsteder.

 

[8086]

15 hours ago, Mats Magnem said:

Jøsses, hva for verdier er det som blir lagt i cookies? Og hvorfor?

I dette tilfellet, veldig lite. For at du skal kunne logge deg inn på et nettsted må nettstedet vite hvem du er. Når du logger inn med brukernavn og passord så får du som oftest* en sesjonsid tilbake tilbake (et langt tall, en serie tegn, etc) som unikt identifiserer deg og ikke kan gjettes på. Dette symbolet må sendes med hver eneste forespørsel til serveren for at serveren skal vite hvem det er som spør.

Den vanligste metoden dette gjøres på er ved hjelp av en Cookie, som kun er en bit tekst som blir med hver eneste forespørsel. Uten infoen kan du ikke være autentisert.

* Det finnes andre former for autentisering enn sesjonsid, men dette er den vanligste.

Endret 15. juni 2021 av 8086