Saltar al contenido

Cualquier razón para NO configurar todas las cookies para usar httponly y seguro

Ya no necesitas investigar más por otras webs porque llegaste al lugar necesario, poseemos la respuesta que quieres encontrar sin complicaciones.

Solución:

Sí, hay casos en los que no desea SÓLO HTTP o SEGURIDAD.

Si necesita javascript para ver el valor de la cookie, elimine el indicador de solo HTTP. Un par de casos: algunos sitios rastrean el estado de la página en una cookie usando javascript para leer y escribir el valor de la cookie. Las mitigaciones de CSRF a menudo dependen de que el servidor envíe un valor en una cookie y esperan que JavaScript lea ese valor.

La bandera segura es más importante. Si esperamos que todos los sitios se ejecuten en https, y solo https, entonces la única parte de http es una redirección a https. Nunca querrás que tu cookie sea enviada en claro. Bueno, casi nunca. Aquí hay dos casos en los que podría:

  1. los entornos de desarrollo a menudo no tienen o no necesitan tener certificados TLS (aunque tal vez deberían).
  2. para rastrear la actividad que se originó en http. Incluso puede usar su balanceador de carga para configurar una cookie insegura antes de que envíe la redirección. Luego, el análisis de su aplicación puede rastrear qué URL ingresaron como HTTP. Su balanceador de carga puede rastrear qué sesiones entraron como http.

En la práctica, si está ejecutando un sitio https, siempre configure la cookie seguray siempre error en el lado seguro por configurando HTTPONLYa menos que sepa que su javascript requiere acceso a cookies.

ACTUALIZACIÓN – TLS en desarrollo

Se habla mucho sobre si debe o no usar TLS en el desarrollo. Publicó la pregunta aquí:

¿Debo desarrollar con TLS activado o desactivado?

Con respecto a httponly Básicamente, está preguntando si son casos de uso en los que Javascript debe leer o configurar una cookie. Por lo general, algunas configuraciones de la interfaz de usuario (elección de idioma…) se conservan de esta manera, lo que se rompería si la cookie es solo http.

Como para secure: dado que según su descripción, el sitio usa https todo el tiempo, no está de más tener todas las cookies secure.

Bandera segura

Teniendo en cuenta que la aplicación se ejecuta a través de HTTPS, es decir, LB redirige todo el tráfico del puerto 80 al 443, todavía es necesario habilitar el indicador seguro a la luz del siguiente escenario.

  1. Supongamos que hay un error de desarrollo como resultado de que un hipervínculo contiene el enlace HTTP (p. ej., http://example.com/some_page.php) en lugar de HTTPS (p. ej., https://example.com/some_page. php) enlace.
  2. El navegador solicita el recurso web a través de HTTP y envía la cookie junto con él debido a la ausencia del indicador seguro.
  3. La solicitud llega al LB que redirige el tráfico al puerto 443, es decir, a través de HTTPS.
  4. El navegador reinicia la solicitud, pero esta vez a través de HTTPS con el valor de la cookie.

Por lo tanto, aunque el LB está configurado para redirigir el tráfico inseguro del puerto 80 al tráfico seguro del puerto 443, un ataque MiTM exitoso podría tener lugar en step 2 lo que resulta en la suplantación de un usuario al robar las cookies confidenciales. Además, verificar que los hipervínculos y los redireccionamientos estén codificados correctamente es una actividad comparativamente más extenuante que habilitar la bandera segura en las cookies confidenciales. Para concluir, aunque se configura una redirección en el nivel LB, podría haber escenarios posibles en los que se podría ejecutar un MiTM fructífero debido a la ausencia de la bandera segura.

Bandera de solo http

Esta es una bandera cuyo significado permanece independiente de la Seguridad de la capa de transporte (SSL/TLS). El indicador httponly se usa para evitar que javascript acceda a cookies confidenciales como las cookies de sesión en caso de un ataque exitoso de Cross-Site Scripting (XSS). Cuando el indicador httponly no está configurado en el valor de la cookie, el javascript malicioso inyectado en la aplicación debido a una falla en el nivel de la aplicación podría terminar saboteando la confidencialidad, integridad y disponibilidad de las cuentas de usuario al leer las cookies de sesión y enviarlas a servidores remotos, por ejemplo. , suplantando así con éxito a un usuario legítimo. Por lo tanto, el indicador httponly siempre debe establecerse en todas las cookies o al menos en las sensibles.

Si te animas, puedes dejar un enunciado acerca de qué te ha impresionado de esta división.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *