mod_auth_formIch habe einen Apache 2.4-Server mit und mod_sessionzum mod_session_cryptoVerschlüsseln des Inhalts des Sitzungscookies konfiguriert .
Wenn ich mich nicht irre, sollte die Standardverschlüsselung OpenSSL und die aes256-Chiffre verwenden. Dies ist eine asymmetrische Chiffre, die private und öffentliche Schlüssel verwendet. Ich verstehe die SessionCryptoPassphraseAnweisung nicht ganz. Wofür genau wird diese Passphrase verwendet? In den Dokumenten steht Folgendes:
Die SessionCryptoPassphrase-Direktive gibt die Schlüssel an, die verwendet werden sollen, umsymmetrischVerschlüsselung des Sitzungsinhalts vor dem Schreiben der Sitzung oder Entschlüsselung des Sitzungsinhalts nach dem Lesen der Sitzung.
Abschließend möchte ich noch fragen, wie sicher die auf diese Weise verschlüsselten Cookies sind. Sie enthalten zwar immer noch den Benutzernamen und das Passwort, aber diese sind verschlüsselt. Kann ein Hacker diese knacken und auf die darin enthaltenen Daten zugreifen? Kann der Hacker mit Kenntnis dieser Passphrase an die Informationen in den Cookies gelangen?
Antwort1
https://github.com/winlibs/apache/blob/master/2.4.x/modules/session/mod_session_crypto.c#L156Verwendethttps://apr.apache.org/docs/apr-util/1.6/group___a_p_r___util___crypto.html#ga98dea2011c0e173ab1f059c5a9ea8b14das den Schlüssel aus der bereitgestellten Passphrase generiert. Mir ist nicht klar, wie der IV festgelegt/bestimmt wird, aber sie verwenden zumindest den CBC-Modus, also scheint es sicher genug zu sein.
Unglücklicherweise möchte ich das Cookie mit einer anderen Backend-Anwendung teilen, und der Versuch, es zu verwenden, mod_session_dbdscheint einfacher zu sein, als das KDF exakt zu replizieren, selbst mit derselben Passphrase.