Cookies Flag "sicuro"

Naviga le tue risposte
7

Come funzionano i flag "sicuri" dei cookie per determinare se i cookie devono essere inclusi?

es. su una connessione HTTP (non crittografata) ...

  1. l'utente non ha ancora nessun cookie e prova ad accedere;

  2. l'utente si collega correttamente, il server deve inviare un cookie "sicuro" al client;

    • Il server invierà cookie al client tramite HTTP?
    • Il server è il responsabile della verifica della connessione e decide di includere il cookie "sicuro"?
    • O i cookie con flag "sicuro" sono rifiutati a livello HTTP?
posta ted 06.12.2012 - 14:26
fonte

3 risposte

12

Il server può chiedere al browser di impostare i cookie con il flag di sicurezza su HTTP, ma il browser deve includerli solo nelle risposte via HTTPS.

Ma non dovresti mai presentare una richiesta di autenticazione su risposte dirette HTTP a richieste di autenticazione su HTTP. Il primo può essere manomesso per copiare le credenziali altrove, mentre il secondo può essere sniffato.

Mescolare e abbinare HTTP e HTTPS non è una buona ricetta per un sito sicuro. Dovrebbero essere chiaramente delimitati.

    
risposta data 06.12.2012 - 14:49
fonte
4

Il browser dovrebbe assicurarsi che il cookie sicuro sia solo inviato indietro al server per le richieste HTTPS. La tua applicazione dovrebbe assicurarsi che i cookie sicuri siano solo creati , se la pagina è stata chiamata con HTTPS.

    
risposta data 06.12.2012 - 15:15
fonte
2

Un cookie viene memorizzato sul client e inviato al server quando le "condizioni sono corrette" (in particolare, i cookie sono associati a un server e vengono inviati nuovamente a quel server solo ) . Un cookie contrassegnato sicuro è un cookie che verrà inviato al server solo quando la connessione è "sicura" (ad esempio SSL, alias "HTTPS").

I contenuti del cookie sono sotto il controllo del server: il browser memorizzerà nel cookie solo ciò che il server gli dice di memorizzare. Contrassegnare un cookie come "sicuro" ha senso se i contenuti del cookie sono sensibili in qualche modo (sono confidenziali, o non dovrebbero consentire alterazioni esterne, o, più spesso, entrambi allo stesso tempo). Se i contenuti dei cookie sono sensibili, non dovrebbero mai essere inviati su un semplice HTTP; non quando il cookie viene rispedito al server (il flag "sicuro" sta per istruire il browser a non commettere quell'errore), ma anche non quando il cookie viene inizialmente creato.

In poche parole, se il server sta inviando, over plain HTTP , un cookie per l'archiviazione nel client con il flag "sicuro", quindi qualcosa non va .

In parole ancora più brevi: hai bisogno di HTTPS su tutto il sito . Parziale HTTPS è difficile da ottenere correttamente (in una certa misura, è matematicamente impossibile avere ragione).

    
risposta data 06.12.2012 - 18:00
fonte

Leggi altre domande sui tag

Quale chiave usa Linux quando memorizza le password degli utenti? Il test di penetrazione diventa oggettivamente "più difficile" man mano che le app / i protocolli / i sistemi operativi diventano più sicuri?