Elimina cookie o imposta httponly e sicuro

1

Attualmente sono nel bel mezzo di una valutazione della vulnerabilità e ho scoperto che i cookie non hanno Secure o HttpOnly set. Ho raccomandato di impostare entrambi su true per i loro cookie, ma gli sviluppatori hanno risposto che non lo faranno, per i seguenti motivi:

  • Non saranno in grado di eliminare il cookie quando si disconnette tramite javascript
  • Il cookie viene utilizzato solo per metadati, non per autenticare richieste di dati

Questa è una difesa valida? Non riesco a trovare alcun motivo (correlato alla sicurezza) per aver scelto di eliminare un cookie tramite l'impostazione Secure e HttpOnly.

    
posta 20.10.2016 - 16:30
fonte

4 risposte

1

Il flag di sicurezza non ha nulla a che fare con il coinvolgimento di javascript. Abilita o disabilita solo la trasmissione di cookie su un testo in chiaro non protetto nel caso in cui il server intrattieni richieste http e https. In effetti, non impostarlo rende la loro app vulnerabile al "dirottamento dei cookie" al volo

HttpSolo flag, sì sicuramente impone alcune restrizioni su javascript leggendo il cookie, ma difesa contro clickjack e XSS, spero che abbiano questa conoscenza perché non c'è obbligo di logout per rendere i cookie accessibili a javascript

    
risposta data 20.10.2016 - 16:43
fonte
1

I token di accesso / sessione o token che portano i dati dell'utente devono essere protetti e HTTPOnly, oppure diventano un problema di sicurezza.

L'invio esplicito di un pulsante di disconnessione, anziché la semplice scadenza del token, determina una richiesta di "disconnessione" al server. Chiedere al server di invalidare il token di autenticazione (cookie) ma impostandolo su un valore di posta indesiderata. Ad esempio, Set-Cookie: token = logout.

L'eliminazione di un cookie può essere un'azione lato client, ma l'impostazione di un cookie può essere effettuata sul lato server e puoi comunque mantenere HTTPOnly e Secure (che, come 8zero2.ops ha sottolineato, non è correlato a questo problema).

    
risposta data 20.10.2016 - 17:04
fonte
0

Puoi chiedere loro di scadere il cookie quando l'utente visita il sito web. E se il cookie contiene informazioni sensibili (id di sessione), è necessario invalidare la sessione sul lato server.

    
risposta data 20.10.2016 - 17:04
fonte
0

Sembra che questi siano cookie di identificazione delle sessioni, nel qual caso è più probabile che si desideri avere i flag httponly e secure impostati. I cookie devono essere gestiti dal server e non dal client. L'implicazione degli sviluppatori in questo caso è che stanno riponendo troppa fiducia nei dati ricevuti dal client, il che è molto brutto. Li farei riferimento al foglio di trucco di OWASP Session Management link

    
risposta data 20.10.2016 - 17:09
fonte

Leggi altre domande sui tag