Un'applicazione PHP che sto testando al momento restituisce e una pagina di errore quando il valore del cookie di sessione è impostato come una stringa enorme. Porta anche alla divulgazione di informazioni. Che cosa posso raccomandare allo sviluppatore di impedire la generazione della pagina di errore quando il valore del cookie è sorvolato?
Il problema è causato dall'app che si aspetta che il valore del cookie sia qualcosa senza prima verificare se quel valore sia effettivamente qualcosa che può uscire con garbo se non lo è, e invece finisce per lanciare un'eccezione (non gestita).
Ciò che lo sviluppatore dovrebbe fare prima è disabilitare la visualizzazione degli errori sui server di produzione e restituire invece un errore di 500 con una pagina di errore di facile utilizzo opzionale, o almeno una pagina vuota per evitare la divulgazione di informazioni.
Non penso che sia necessario convalidare esplicitamente il valore del cookie, questo non è qualcosa che un utente può inserire e fare un refuso quindi non c'è bisogno di convalida e una pagina di errore come "cookie non valido", qualcuno avrebbe bisogno di modificare intenzionalmente il valore di quel cookie, nel qual caso è normale che l'app non lo si aspetti e genera solo un errore 500, purché PHP sia configurato correttamente per non rivelare informazioni sensibili in caso di errore e invece di registrarlo.
L'applicazione fornisce un errore che espone informazioni riservate perché quell'errore specifico non viene gestito dallo sviluppatore. Lo sviluppatore dovrebbe disinfettare i dati o gestire l'errore con errore HTTP 500. Ulteriori informazioni
Leggi altre domande sui tag cookies