Sesiones y seguridad
Enlaces externos: » Fijación de sesiones
El administrador de sesiones de HTTP es el núcleo de la seguridad web. Se deberían
adoptar todos los atenuantes para garantizar la seguridad de sesiones. Los desarrolladores
deberían habilitar/emplear configuraciones relevantes de forma apropiada.
-
session.cookie_lifetime=0.
El valor 0 tiene un significado especial. Indica a los navegadores no almacenar
permanentemente cookies. Por tanto, cuando un navegador finaliza, la cookie de ID
de sesión se elimina inmediatamente. Si el desarrollador establece un valor distinto de 0,
podría permitir que otros usuarios empleen ese ID de sesión. La mayoría de las aplicacioines
deberían utilizar "0". Si se requiere la autoidentificación, se ha de implementar
una característca de autoidentificación segura. No se han de utilizar ID de sesiones para ello.
-
session.use_cookies=On y
session.use_only_cookies=On.
Aunque las cookies de HTTP tienen algunos problemas, son la manera preferida de
administrar ID de sesiones. Use solamente cookies para administrar ID de sesiones cuando
sea posible. La mayoría de las aplicaciones deberían utilizar cookies para ID
de sesiones.
-
session.use_strict_mode=On.
Previene que el módulo de sesiones utilice ID de sesiones no inicializados. En
otras palabras, el módulo de sesiones solamente acepta ID de sesiones válidos generados
por él mismo. Rechaza ID de sesions proporcionados por los
usuarios. Se podría realizar una inyección de ID de sesiones a través de inyecciones de cookies
mediante JavaScript de forma permanente o temporal. Cuando están habilitadas las sesiones
transparentes, se podría inyectar una ID de sesión mediante un string de consulta o un parámetro
de formulario. No hay ninguna razón para aceptar ID de sesiones proporcionados por el usuario,
la mayoría de las aplicaciones no deben aceptar ID de sesiones no inicializados
proporcionados por el usuario.
-
session.cookie_httponly=On.
Denegar el acceso a cookies de sesión a JavaScript. Este ajuste
previene del robo de cookies por inyecciones de JavaScript. Es posible
utilizar ID de sesiones como claves de protección CSRF, aunque no se
recomienda. Por ejemplo, se podría guardar y enviar código fuente HTML
a otros usuarios. Para mayor seguridad, los desarrolladores no deberían escribir
ID de sesiones en páginas web. Casi todas las aplicaciones deben emplear el atributo
httponly para cookies de ID de sesión.
-
session.cookie_secure=On.
Permite el acceso a cookies de ID de sesión solamente al protocolo HTTPS. Si
un sitio web es un sitio solamente HTTPS, se debe habilitar este ajuste.
No debería considerarse el empleo de HSTS para sitios web que sean solamente HTTPS.
-
session.gc_maxlifetime=[elegir el más pequeño posible].
La recolección de basura (GC) se realiza por probabilidades. Este ajuste no garantiza la eliminación
de sesiones antiguas. Algunos modulos de gestores de almacenamiento de sesiones no emplean
este ajuste. Consulte la documentación de gestores almacenamiento de sesiones para más
detalles. Aunque los desarrolladores no pueden depender de este ajuste, se recomienda
establecerlo al valor más pequeño posible. Se ha de ajustar session.gc_probability
y session.gc_divisor para que las
sesiones obsoleta sean eliminadas con la frecuencia apropiada. Si se requiere la
autoidentificación, se ha de implementar una característca de autoidentificación segura.
No utilice ID de sesiones de vida larga para ello.
-
session.use_trans_sid=Off.
El empleo de administradores de ID de sesiones transparentes no está prohibido. Se
podría utilizar cuando fuera necesario. Sin embargo, la deshabilitación de la administración
de ID de sesiones transparentes mejoraría la seguridad general de ID de sesiones
eliminando la posibilidad de inyecciones y filtracioines de ID de sesiones.
-
session.referer_check=[el URL original]
Cuando session.use_trans_sid
está habilitado, se recomienda el empleo de este ajuste si es
posible. Reduce el riesgo de inyecciones de ID de sesión. Si un sitio fuera
http://example.com/, se ha de establecer http://example.com/ para ello. Obaservar que al
utilizar HTTPS, los navegadores no enviarán la cabecera recomendante. Los navegadores podrían
no enviar dicha cabecera debido a su configuración. Por tanto, este ajuste
no es una medida de seguridad de confianza.
-
session.cache_limiter=nocache.
Garantiza que los contenidos HTTP no se almacenan en caché para sesiones
autenticadas. Permite el almacenamiento en caché solamente cuando el contenido no
es privado. De lo contrario, el contenido podría quedar expuesto. Se podría emplear
"private" si el contenido HTTP no incluye datos sensibles a la seguridad. Observar
que "private" podría dejar datos privados en caché por clientes compartidos.
Se podría utilizar "public" solamente cuando el contenido HTTP no contenga
ningún dato privado en absoluto.
-
session.hash_function="sha256".
Las funciones de hash más fuertes generarán ID de sesiones más
fuertes. Aunque son improbables las colisiones hash incluso con MD5, los desarrolladores
deberían utilizar funciones de hash SHA-2 o posterior para esta tarea. Los desarrolladores
podrían emplear hash más fuertes, como sha384 y sha512.
El módulo de sesión no puede garantizar que la información que se almacena
en una sesión sea vista sólo por el usuario que creó la sesión. Se
necesita tomar medidas adicionales para proteger activamente la confidencialidad
de la sesión, dependiendo del valor asociado con ella.
Evalúe la importancia de la información que portan las sesiones y
utilice protecciones adicionales; esto normalmente conlleva un precio,
reduciendo la comodidad del usuario. Por ejemplo, si se quiere proteger
a los usuarios de tácticas de ingeniería social simples, es necesario
habilitar session.use_only_cookies
. En este caso,
las cookies deben estar activas incondicionalmente en el lado del usuario, o
las sesiones no funcionarán.
Hay varias maneras de filtrar un ID de sesión existente a terceros.
Un ID de sesión filtrado habilita al tercero a acceder a todos los
recursos que están asociados con un ID específico. Primero, los URL
portan ID de sesiones. Si se enlaza con un sitio externo, el URL
que incluye el ID de sesión podría estar almacenado en el registro de consultas
del sitio externo. Segundo, un atacante más activo podría escuchar el
tráfico de red. Si no están encriptados, los ID de sesión fluirán en
texto plano por la red. La solución aquí es implementar SSL
en el servidor y hacerlo obligatorio para los usuarios. Se debería emplear
HSTS para esto.
Desde PHP 5.5.2, está disponible session.use_strict_mode.
Cuando está habilitada y el módulo gestor de almacenamiento lo
admite, un ID de sesión no inicializado es rechazado, creando así un nuevo
ID de sesión. Es protege contra ataques que fuerzan a los usuarios que empleen
ID de sesiones conocidos. El atacante podría pegar enlaces o enviar correos que contengan
ID de sesiones, p.ej., http://example.com/page.php?PHPSESSID=123456789. Si session.use_trans_sid está
habilitada, las víctimas iniciarán sesión utilizando el ID de sesión provisto
por el atacante. session.use_strict_mode
mitiga este riesgo.
Incluso si session.use_strict_mode
mitiga el riesgo de gestores de sesiones adoptivos, el atacante puede forzar
a los usuarios a que empleen ID de sesiones inicializados creados por
él mismo. Todo lo que tiene que hacer el atacante es inicializar el ID de sesión
antes de atacar y mantanerlo vivo.
Se podría establecer una cookie de ID de sesión con los atributos de dominio, ruta,
httponly y seguro. Los navegadores definen su propia precedencia. Al emplear
la precedencia, el atacante puede establecer un ID de sesión que podría utlizarse
permanentemente. El empleo de session.use_only_cookies
no resolverá este problema. session.use_strict_mode
mitiga este riesgo. Con session.use_strict_mode=On,
los ID de sesiones no inicializados no serán aceptados. El módulo de sesiones
crea un nuevo ID de sesión siempre que dicho ID no esté inicializado por
él midmo. Esto podría resultar en una denegación del servicio, aunque esto es
mejor que comprometer la cuenta.
session.use_strict_mode
es un buen atenuante, pero no lo suficiente para
sesiones autenticadas. Los desarrolladores deben emplear
session_regenerate_id() para la autenticación.
session_regenerate_id() debe invocarse antes de
establecer la información de autentición para
$_SESSION. session_regenerate_id() garantiza que las
nuevas sesiones contengan información de autenticación almacenada solamente en
nuevas sesiones. Es decir, los errores durante el proceso de identificación podrían
guardar indicadores autenticados en sesiones antiguas.
Llamar a la función session_regenerate_id() podría resultar en
una denegación del servicio personal como con use_strict_mode=On. Sin embargo, esto es
mejor que comprometer la cuenta. Un ID de sesión debería ser regenerado
cuando el usuario, al menos, sea autenticado. La regeneración de ID de sesiones reduce
el riesgo del robo de los mismos, por lo que debería invocarse periódicamente.
Los desarrolladores no deberían depender de la expiración de los ID de sesiones. Los atacantes
podrían acceder a los ID de sesión de las víctimas periódicamente para evitar la expiración.
Los desarrolladores deben implementar su propia utilidad de expiración para sesiones antiguas.
Observar que session_regenerate_id() no elimina sesiones
antiguas de forma predeterminada. Podrían estar disponibles las sesiones autenticadas
antiguas. Si los desarrolladores quiesieran prevenir que las sesiones autenticadas antiguas
sen utilizadas por cualquiera, debe destruir las sesiones estableciendo
delete_old_session
a true
. Sin embargo,
la inmediata eliminación de sesiones antigas tiene efectos secundarios no deseados. Las sesiones
podrían desaparecer cuando hayan conexiones concurrentes a la aplicación
web y/o cuando la red esté inestable. En lugar de eliminar las sesiones antiguas
inmediatamente, podría establecerse un tiempo de expiración a corto plazo en
$_SESSION por uno mismo. Si el usuario accede a una sesión obsoleta
(expirada), se ha de denegar el acceso a ella.
session.use_only_cookies
y el uso apropiado de session_regenerate_id() podría
ocasionar una denegación del servicio personal. Cuando sea este el caso, se podría
preguntar a los usuarios para que eliminen las cookies y advertirles de que podría haber
problemas de seguridad. Los atacantes podrían establecer cookies maliciosas mediante una aplicación
web vulnerable (es decir, inyección de JavaScript), complementos vulnerables/maliciosos
de navegadores, etc.
Los desarrolladores no deben utilizar ID de sesiones de vida larga para la autoidentifiación, ya que
aumenta el riego del robo de sesiones. La autoidentificación debería ser implementada
por el desarrolador. Emplee la clave de hash de seguridad de una sola vez como clave de autoidentificación
utilizando cookies. Emplee un hash de seguridad más fuerte que SHA-2, p.ej., SHA-256 o superior
con datos aleatorios de /dev/urandom o similar. Si el usuario no se
autentica, compruebe que la clave de autoidentificación de una sola vez es válida. Si
la clave es válida, autentique al usuario y establezca una nueva clave de hash de seguridad
de una sola vez. La clave de autoidentificación es una clave de vida larga; debería estar
lo más protegida posible. Emplee los atributos ruta/httponly/seguridad
de las cookies para la protección. Los desarrolladores deben implementar la característca que
deshbilite la autoidentificación y elmine las claves de autoidentificación de los usuarios
innecesarias.