Tengo un servidor Apache 2.4 configurado con mod_auth_formy para cifrar el contenido de la cookie de sesión mod_session.mod_session_crypto
Si no me equivoco, el cifrado predeterminado debería utilizar OpenSSL y cifrado aes256. Se trata de un cifrado asimétrico que utiliza claves públicas y privadas. No entiendo muy bien la SessionCryptoPassphrasedirectiva. ¿Para qué se utiliza exactamente esta frase de contraseña? Los documentos afirman lo siguiente:
La directiva SessionCryptoPassphrase especifica las claves que se utilizarán para habilitarsimétricocifrado del contenido de la sesión antes de escribir la sesión, o descifrado del contenido de la sesión después de leer la sesión.
Finalmente, mi pregunta es ¿qué tan seguras son las cookies cifradas de esta manera? Todavía contienen el nombre de usuario y la contraseña, solo que están encriptados. ¿Puede un hacker descifrar esto y obtener acceso a los datos que contiene? ¿El conocimiento de esta frase de contraseña permitirá al hacker obtener la información contenida en las cookies?
Respuesta1
https://github.com/winlibs/apache/blob/master/2.4.x/modules/session/mod_session_crypto.c#L156usoshttps://apr.apache.org/docs/apr-util/1.6/group___a_p_r___util___crypto.html#ga98dea2011c0e173ab1f059c5a9ea8b14que genera la clave a partir de la frase de contraseña proporcionada. No tengo claro cómo se configura/determina la IV, pero al menos usan el modo CBC, por lo que parece ser lo suficientemente seguro.
Desafortunadamente para mí, me gustaría compartir la cookie con otra aplicación de backend, y tratar de usarla mod_session_dbdparece ser más fácil que replicar el KDF exactamente, incluso con la misma frase de contraseña.