Cookie geht doch nur wenn User-Agent und IP noch gleich ist, als wenn Cookie/token generiert wurde dachte ich, sonst sollte es login/2FA verlangen. Der Attacker ist normallerweise nicht auf der gleichen Kiste.
Cookie geht doch nur wenn User-Agent und IP noch gleich ist, als wenn Cookie/token generiert wurde dachte ich, sonst sollte es login/2FA verlangen. Der Attacker ist normallerweise nicht auf der gleichen Kiste.
Konzeptuell ist es den Cookies egal, von welchem User-Agent, und welcher IP-Adresse sie gesendet werden. Da muss schon in der Logik der Webseite gespeichert, und danach überprüft werden: Ist die IP noch die gleiche.
Einen neuen Login zu fordern wenn Cookie und das IP/User-Agent-Tupel nicht mehr zusammen passen wäre sowieso blöd. Jedes mal, wenn man den Browser aktualisiert muss man sich neu anmelden, also so ein mal im Monat, und die IP ändert sich bei Heim-Anschlüssen auch etwa täglich, also täglich neuer Login.
Edit: User-Agent kann man davon abgesehen natürlich abgreifen, und senden was man lustig findet, das ist nur ein HTTP-Header, also sind auch Logiken wie:
Wenn sowohl User-Agent als auch IP nicht zum Cookie-Tupel passen: Neuer Login
Unnütz, den nur die IP lässt sich über TCP nicht fälschen. Cookies nur von der IP abhängig machen heißt aber etwa täglich neue Logins, und das ist nicht praktisch genug, also lieber weniger sicher.