Sesiones y seguridad

Enlaces externos: » Fijación de sesiones

El administrador de sesiones de HTTP es el núcleo de la seguridad web. Se deberían adoptar todos los atenuantes para garantizar la seguridad de sesiones. Los desarrolladores deberían habilitar/emplear configuraciones relevantes de forma apropiada.

  • session.cookie_lifetime=0. El valor 0 tiene un significado especial. Indica a los navegadores no almacenar permanentemente cookies. Por tanto, cuando un navegador finaliza, la cookie de ID de sesión se elimina inmediatamente. Si el desarrollador establece un valor distinto de 0, podría permitir que otros usuarios empleen ese ID de sesión. La mayoría de las aplicacioines deberían utilizar "0". Si se requiere la autoidentificación, se ha de implementar una característca de autoidentificación segura. No se han de utilizar ID de sesiones para ello.
  • session.use_cookies=On y session.use_only_cookies=On. Aunque las cookies de HTTP tienen algunos problemas, son la manera preferida de administrar ID de sesiones. Use solamente cookies para administrar ID de sesiones cuando sea posible. La mayoría de las aplicaciones deberían utilizar cookies para ID de sesiones.
  • session.use_strict_mode=On. Previene que el módulo de sesiones utilice ID de sesiones no inicializados. En otras palabras, el módulo de sesiones solamente acepta ID de sesiones válidos generados por él mismo. Rechaza ID de sesions proporcionados por los usuarios. Se podría realizar una inyección de ID de sesiones a través de inyecciones de cookies mediante JavaScript de forma permanente o temporal. Cuando están habilitadas las sesiones transparentes, se podría inyectar una ID de sesión mediante un string de consulta o un parámetro de formulario. No hay ninguna razón para aceptar ID de sesiones proporcionados por el usuario, la mayoría de las aplicaciones no deben aceptar ID de sesiones no inicializados proporcionados por el usuario.
  • session.cookie_httponly=On. Denegar el acceso a cookies de sesión a JavaScript. Este ajuste previene del robo de cookies por inyecciones de JavaScript. Es posible utilizar ID de sesiones como claves de protección CSRF, aunque no se recomienda. Por ejemplo, se podría guardar y enviar código fuente HTML a otros usuarios. Para mayor seguridad, los desarrolladores no deberían escribir ID de sesiones en páginas web. Casi todas las aplicaciones deben emplear el atributo httponly para cookies de ID de sesión.
  • session.cookie_secure=On. Permite el acceso a cookies de ID de sesión solamente al protocolo HTTPS. Si un sitio web es un sitio solamente HTTPS, se debe habilitar este ajuste. No debería considerarse el empleo de HSTS para sitios web que sean solamente HTTPS.
  • session.gc_maxlifetime=[elegir el más pequeño posible]. La recolección de basura (GC) se realiza por probabilidades. Este ajuste no garantiza la eliminación de sesiones antiguas. Algunos modulos de gestores de almacenamiento de sesiones no emplean este ajuste. Consulte la documentación de gestores almacenamiento de sesiones para más detalles. Aunque los desarrolladores no pueden depender de este ajuste, se recomienda establecerlo al valor más pequeño posible. Se ha de ajustar session.gc_probability y session.gc_divisor para que las sesiones obsoleta sean eliminadas con la frecuencia apropiada. Si se requiere la autoidentificación, se ha de implementar una característca de autoidentificación segura. No utilice ID de sesiones de vida larga para ello.
  • session.use_trans_sid=Off. El empleo de administradores de ID de sesiones transparentes no está prohibido. Se podría utilizar cuando fuera necesario. Sin embargo, la deshabilitación de la administración de ID de sesiones transparentes mejoraría la seguridad general de ID de sesiones eliminando la posibilidad de inyecciones y filtracioines de ID de sesiones.
  • session.referer_check=[el URL original] Cuando session.use_trans_sid está habilitado, se recomienda el empleo de este ajuste si es posible. Reduce el riesgo de inyecciones de ID de sesión. Si un sitio fuera http://example.com/, se ha de establecer http://example.com/ para ello. Obaservar que al utilizar HTTPS, los navegadores no enviarán la cabecera recomendante. Los navegadores podrían no enviar dicha cabecera debido a su configuración. Por tanto, este ajuste no es una medida de seguridad de confianza.
  • session.cache_limiter=nocache. Garantiza que los contenidos HTTP no se almacenan en caché para sesiones autenticadas. Permite el almacenamiento en caché solamente cuando el contenido no es privado. De lo contrario, el contenido podría quedar expuesto. Se podría emplear "private" si el contenido HTTP no incluye datos sensibles a la seguridad. Observar que "private" podría dejar datos privados en caché por clientes compartidos. Se podría utilizar "public" solamente cuando el contenido HTTP no contenga ningún dato privado en absoluto.
  • session.hash_function="sha256". Las funciones de hash más fuertes generarán ID de sesiones más fuertes. Aunque son improbables las colisiones hash incluso con MD5, los desarrolladores deberían utilizar funciones de hash SHA-2 o posterior para esta tarea. Los desarrolladores podrían emplear hash más fuertes, como sha384 y sha512.

El módulo de sesión no puede garantizar que la información que se almacena en una sesión sea vista sólo por el usuario que creó la sesión. Se necesita tomar medidas adicionales para proteger activamente la confidencialidad de la sesión, dependiendo del valor asociado con ella.

Evalúe la importancia de la información que portan las sesiones y utilice protecciones adicionales; esto normalmente conlleva un precio, reduciendo la comodidad del usuario. Por ejemplo, si se quiere proteger a los usuarios de tácticas de ingeniería social simples, es necesario habilitar session.use_only_cookies. En este caso, las cookies deben estar activas incondicionalmente en el lado del usuario, o las sesiones no funcionarán.

Hay varias maneras de filtrar un ID de sesión existente a terceros. Un ID de sesión filtrado habilita al tercero a acceder a todos los recursos que están asociados con un ID específico. Primero, los URL portan ID de sesiones. Si se enlaza con un sitio externo, el URL que incluye el ID de sesión podría estar almacenado en el registro de consultas del sitio externo. Segundo, un atacante más activo podría escuchar el tráfico de red. Si no están encriptados, los ID de sesión fluirán en texto plano por la red. La solución aquí es implementar SSL en el servidor y hacerlo obligatorio para los usuarios. Se debería emplear HSTS para esto.

Desde PHP 5.5.2, está disponible session.use_strict_mode. Cuando está habilitada y el módulo genstor de almacenamiento lo admite, un ID de sesión no inicializado es rechazado, creando así un nuevo ID de sesión. Es protege contra ataques que fuerzan a los usuarios que empleen ID de sesiones conocidos. El atacante podría pegar enlaces o enviar correos que contengan ID de sesiones, p.ej., http://example.com/page.php?PHPSESSID=123456789. Si session.use_trans_sid está habilitada, las víctimas iniciarán sesión utilizando el ÏD de sesión provisto por el atacante. session.use_strict_mode mitiga este riesgo.

Incluso si session.use_strict_mode mitiga el riesgo de gestores de sesiones adoptivos, el atacante puede forzar a los usuarios a que empleen ID de sesiones inicializados creados por él mismo. Todo lo que tiene que hacer el atacante es inicializar el ID de sesión antes de atacar y mantanerlo vivo.

Se podría establecer una cookie de ID de sesión con los atributos de dominio, ruta, httponly y seguro. Los navegadores definen su propia precedencia. Al emplear la precedencia, el atacante puede establecer un ID de sesión que podría utlizarse permanentemente. El empleo de session.use_only_cookies no resolverá este problema. session.use_strict_mode mitiga este riesgo. Con session.use_strict_mode=On, los ID de sesiones no inicializados no serán aceptados. El módulo de sesiones crea un nuevo ID de sesión siempre que dicho ID no esté inicializado por él midmo. Esto podría resultar en una denegación del servicio, aunque esto es mejor que comprometer la cuenta.

session.use_strict_mode es un buen atenuante, pero no lo suficiente para sesiones autenticadas. Los desarrolladores deben emplear session_regenerate_id() para la autenticación. session_regenerate_id() debe invocarse antes de establecer la información de autentición para $_SESSION. session_regenerate_id() garantiza que las nuevas sesiones contengan información de autenticación almacenada solamente en nuevas sesiones. Es decir, los errores durante el proceso de identificación podrían guardar indicadores autenticados en sesiones antiguas.

Llamar a la función session_regenerate_id() podría resultar en una denegación del servicio personal como con use_strict_mode=On. Sin embargo, esto es mejor que comprometer la cuenta. Un ID de sesión debería ser regenerado cuando el usuario, al menos, sea autenticado. La regeneración de ID de sesiones reduce el riesgo del robo de los mismos, por lo que debería invocarse periódicamente. Los desarrolladores no deberían depender de la expiración de los ID de sesiones. Los atacantes podrían acceder a los ID de sesión de las víctimas periódicamente para evitar la expiración. Los desarrolladores deben implementar su propia utilidad de expiración para sesiones antiguas.

Observar que session_regenerate_id() no elimina sesiones antiguas de forma predeterminada. Podrían estar disponibles las sesiones autenticadas antiguas. Si los desarrolladores quiesieran prevenir que las sesiones autenticadas antiguas sen utilizadas por cualquiera, debe destruir las sesiones estableciendo delete_old_session a TRUE. Sin embargo, la inmediata eliminación de sesiones antigas tiene efectos secundarios no deseados. Las sesiones podrían desaparecer cuando hayan conexiones concurrentes a la aplicación web y/o cuando la red esté inestable. En lugar de eliminar las sesiones antiguas inmediatamente, podría establecerse un tiempo de expiración a corto plazo en $_SESSION por uno mismo. Si el usuario accede a una sesión obsoleta (expirada), se ha de denegar el acceso a ella.

session.use_only_cookies y el uso apropiado de session_regenerate_id() podría ocasionar una denegación del servicio personal. Cuando sea este el caso, se podría preguntar a los usuarios para que eliminen las cookies y advertirles de que podría haber problemas de seguridad. Los atacantes podrían establecer cookies maliciosas mediante una aplicación web vulnerable (es decir, inyección de JavaScript), complementos vulnerables/maliciosos de navegadores, etc.

Los desarrolladores no deben utilizar ID de sesiones de vida larga para la autoidentifiación, ya que aumenta el riego del robo de sesiones. La autoidentificación debería ser implementada por el desarrolador. Emplee la clave de hash de seguridad de una sola vez como clave de autoidentificación utilizando cookies. Emplee un hash de seguridad más fuerte que SHA-2, p.ej., SHA-256 o superior con datos aleatorios de /dev/urandom o similar. Si el usuario no se autentica, compruebe que la clave de autoidentificación de una sola vez es válida. Si la clave es válida, autentique al usuario y establezca una nueva clave de hash de seguridad de una sola vez. La clave de autoidentificación es una clave de vida larga; debería estar lo más protegida posible. Emplee los atributos ruta/httponly/seguridad de las cookies para la protección. Los desarrolladores deben implementar la característca que deshbilite la autoidentificación y elmine las claves de autoidentificación de los usuarios innecesarias.