Dati in chiaro in un cookie di sessione: quale tipo di vulnerabilità?

7

Stavo usando Wireshark mentre usavo un sito web, quando ho notato un cookie di sessione che memorizza in chiaro l'indirizzo email, il mio nome, il mio sesso e la data di nascita che ho impostato durante la procedura di registrazione.

Secondo me, è una vulnerabilità perché consente a un utente malintenzionato di individuare il traffico per recuperare i dati personali che sono inutili per gestire la sessione (perché hanno persino bisogno di memorizzare la data di nascita in un cookie?) e che, in ogni caso, non dovrebbe essere inviato in chiaro.

Prima di inviare un rapporto al sito web, vorrei essere sicuro del termine appropriato per questa vulnerabilità. Ho sfogliato il sito web CWE ( link ), e penso che questo dovrebbe essere un esempio di CWE-315: Cleartext Storage of Sensitive Information in un cookie o in un caso di CWE - 319: trasmissione in chiaro di informazioni sensibili.

Le mie due domande (strettamente correlate) sono:

  1. le informazioni sopra elencate (data di nascita, sesso, nome, indirizzo email) sono considerate informazioni sensibili nel senso delle definizioni CWE? Il server si trova in un paese dell'UE, se questo aiuta;
  2. Se sono davvero dati sensibili, questo è un esempio di CWE-315, CWE-319, entrambi, o qualcos'altro interamente?
posta A. Darwin 20.03.2016 - 18:23
fonte

1 risposta

6
  1. Sì, questa informazione dovrebbe essere considerata sensibile, in particolare nel complesso. Gli indirizzi e-mail sono sempre PII e l'aggiunta di data di nascita, sesso e nome lo rende ancora di più.

  2. È sicuramente un esempio di CWE-315. può essere un esempio di CWE-319, se il cookie viene mai trasmesso su HTTP. Se viene trasmesso solo su HTTPS, non è un problema di CWE-319.

Sono d'accordo che indipendentemente dal fatto che HTTPS sia richiesto o meno, questo è sicuramente un problema che dovresti segnalarli. Questa non è una pratica accettabile, e ancor di più se il cookie è un cookie persistente, e non solo un cookie di sessione in memoria.

    
risposta data 20.03.2016 - 18:44
fonte

Leggi altre domande sui tag