Possibili problemi quando uno o più cookie non HttpOnly

3

Ho una domanda relativa al cookie HttpOnly. Tracciare altri thread non è stato di grande aiuto, quindi sto postando la mia domanda qui per sapere se puoi prevedere eventuali problemi con la mia comprensione.

Esiste un sito web, ad esempio www.example.com che imposta cookie in 2 fasi.

  1. Connessione tra Load Balancer e Client - LB_Cookie - crittografato
  2. Connessione tra client e server Web - ASP.NET_Session_Cookie - crittografato e amp; HttpOnly

Nell'esempio precedente, ASP.NET_Session_Cookie è HttpOnly (protetto dagli attacchi XSS) - questo è il cookie contenente le informazioni sulla sessione dell'utente. Tuttavia, per LB_Cookie il flag HttpOnly non è impostato. Mi chiedo se questo potrebbe essere un problema. Sulla base delle informazioni che ho ottenuto attraverso le risorse su Internet - i cookie "tutti" dovrebbero essere impostati su HttpOnly. Tuttavia, non riescono a spiegare cosa potrebbe andare storto se uno dei cookie (Load Balancer nel mio caso) non è HttpOnly.

Lo scopo di LB_Cookie è tale che il bilanciamento del carico può ricordare, quale server Web ha bisogno di inviare le richieste del client in entrata a. Non ci sono dati specifici dell'utente memorizzati su questo cookie. C'è qualcosa di sbagliato se non è HttpOnly? Capisco che potrebbe essere possibile rubare LB_Cookie ma anche se questo cookie viene rubato, non c'è molto che possa andare storto perché l'utente malintenzionato non sarà in grado di occuparsi della sessione dell'utente. Questa è la mia comprensione, e non sono in grado di immaginare uno scenario che potrebbe causare problemi quando LB_Cookie non è HttpOnly. Quindi, inserisco questi pensieri qui per la tua opinione.

    
posta user3205217 25.06.2015 - 05:29
fonte

1 risposta

2

Il flag HttpOnly serve solo a proteggere i cookie sensibili dagli script. Supponendo che il cookie di bilanciamento del carico riguardi solo il routing a un server specifico e non sia in grado di identificare un client, non c'è alcun rischio che questo cookie venga esposto. Un attacco XSS identificherà solo a quale server si connette il browser, e non nulla di specifico per il client che un utente malintenzionato non è in grado di capire comunque.

    
risposta data 25.06.2015 - 05:36
fonte

Leggi altre domande sui tag