Leí una publicación de blog Movimientos de GitHub a SSL, pero sigue siendo Firesheepable que afirma que las cookies pueden enviarse sin cifrar a través de http, incluso si el sitio solo usa https. Escriben que una cookie debe estar marcada con una "bandera segura", pero no sé cómo se ve esa bandera.
¿Cómo puedo verificar que mis cookies solo se envíen a través de https cifrados y no a través de http sin cifrar, en mi sitio que solo usa https?
El indicador de seguridad de las cookies se ve así:
seguro;
Eso es todo.
Esto debería aparecer al final del encabezado HTTP:
Set-Cookie: mycookie = somevalue; ruta = / sitio de seguridad /; Vence = 12/12/2010; seguro; httpOnly;
Por supuesto, para comprobarlo, simplemente conecte cualquier proxy o sniffer (uso el excelente Fiddler ) y observe. ..
* Bonus: También incluí el atributo httpOnly, protege contra el acceso a las cookies desde el espacio de Javascript, por ejemplo. a través de XSS.
Puede verificar usando una herramienta como Firebug (una extensión para Firefox: enlace ). La cookie se mostrará como "segura".
También si está en Firefox, puede mirar en la ventana 'Eliminar cookies individuales' para estar seguro.
Desde el punto de vista del desarrollo, una cookie 'segura' es igual a una normal, pero tiene un parámetro adicional. por ejemplo
SessionId=blah; path=/; secure; HttpOnly
Es probable que su marco de desarrollo con soporte para agregar esto fácilmente, háganos saber qué plataforma está utilizando si necesita ayuda.
Mientras estés allí, te sugeriría que también agregues la bandera HttpOnly si no estás manipulando las cookies en Javascript, le dará a las cookies protección adicional contra algunos ataques XSS.
También puede utilizar el complemento de google chrome para lograr esto. Muy bien, . a>
Una salida de muestra se ve así:
Connection: keep-alive
Strict-Transport-Security: max-age=31536000
Content-Type: application/json
Content-Length: 104
X-Content-Type-Options: nosniff
Server: WEBrick/1.3.1 (Ruby/2.0.0/2015-12-16)
Date: Thu, 25 Aug 2016 07:15:57 GMT
Set-Cookie: your.cookie.name=some-hash-uuid-here; domain=your-backend-hostname.com; path=/; expires=Sat, 24 Sep 2016 07:15:57 -0000; HttpOnly; secure
Via: 1.1 vegur
Como ve al final del valor del atributo ' Set-Cookie ' verá la palabra ' segura ' como se comentó varias veces en las respuestas anteriores, pero también observe cómo hay un atributo llamado ' Seguridad estricta en el transporte ' que es importante mencionar.
Lea otras preguntas en las etiquetas encryption tls cookies