Cookie sicuri protetti rispetto ai prefissi dei cookie

Naviga le tue risposte
7

Il flag secure sui cookie impedisce che vengano letti da un sito non protetto (non HTTPS), ma possono comunque essere scritti o eliminati da un sito non sicuro. Esistono due nuove funzionalità del browser che tentano di impedirlo:

Mi sembra che il prefisso __Secure- renda anche il cookie strettamente sicuro.

In che modo queste due caratteristiche si confrontano tra loro? Perché ci sono due soluzioni separate per la sovrascrittura dei cookie? Ho ancora bisogno del prefisso del cookie se i miei clienti hanno un browser con un severo supporto cookie sicuro?

    
posta Sjoerd 08.05.2017 - 10:59
fonte

1 risposta

4

La bozza rigorosa dei cookie sicuri descrive un limitazione di severi cookie sicuri in cui i prefissi dei cookie possono aiutare:

The mitigations in this document do not, however, give complete confidence that a given cookie was set securely. If an attacker is able to impersonate a response from "http://example.com/" before a user visits "https://example.com/", the user agent will accept any cookie that the insecure origin sets, as the "secure" cookie won't yet be present in the user agent's cookie store. An active network attacker may still be able to use this ability to mount an attack against "example.com", even if that site uses HTTPS exclusively.

Se non ci sono ancora cookie, un'origine non sicura può impostare un cookie sicuro, ma non un cookie prefissato. Quindi i prefissi dei cookie sono ancora una buona idea quando si utilizzano browser che implementano cookie di sicurezza severi.

    
risposta data 29.05.2017 - 11:51
fonte

Leggi altre domande sui tag

Se una richiesta CORS non ha bisogno di autenticazione, perché non posso inviarla senza i cookie? Posso generare un token CSRF a doppio cookie sul client con JavaScript?