1 votos

La Reanudación de la sesión de almacenamiento en caché en Nginx

Hace unos días leí una publicación de blog acerca de la reanudación de la sesión en nginx.

En ese texto, el autor afirma que nginx no proporciona la capacidad regularmente borrar la caché de sesión. Después de "ssl_session_timeout" ha expirado, la sesión ya no se utiliza, pero el archivo sigue en el disco duro y puede ser leído por un atacante por lo tanto, "Confidencialidad directa" sería inútil en este punto.

En lugar de utilizar ID de Sesión, se sugiere la desactivación de la Caché de Sesión y el uso de los vales de sesión. Para ello, un "ticket_key" con 80 bytes de aleatoriedad se debe crear al menos una vez al día.

He buscado en la internet para obtener más información, pero no podía encontrar nada útil.

P1: ¿Cuál es la ubicación del nginx la caché de sesión y cómo puedo comprobar si la conexión TLS datos(sesiones) están en el disco duro?

P2: Es aconsejable el uso de vales de Sesión?

2voto

BazzaDP Puntos 1618

Yo no puedo responder a la primera pregunta, pero puede hablar un poco acerca de la segunda.

Este blog da una buena información sobre los defectos con los vales de sesión en TLSv1.2: https://blog.filippo.io/we-need-to-talk-about-session-tickets/.

Así como Michael dice que los dos tienen sus problemas y sólo si utiliza TLSv1.3 (literalmente, acaba de firmar apagado y tal vez más común en las implementaciones en el momento de la escritura) se puede utilizar TLS reanudación completamente segura.

Sin embargo decir que el costo de rendimiento de no usar TLS reanudación de la sesión es importante, y en mi humilde opinión, los riesgos son relativamente bajos (si alguien tiene acceso a su servidor, a continuación, se acabó el juego como lo que me refiero). Así que por ahora recomiendo el uso de ambos identificadores de sesión y sesión de entradas. Especialmente como algunos de los clientes (Safari e IE en Windows 7 y versiones anteriores) no admiten la sesión de entradas. Safari en particular, todavía tiene un montón de usuarios de móviles y tabletas - ¿realmente quieres ralentizar considerablemente todos los usuarios de iOS?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: