He estado leyendo sobre ataques de cookies entre subdominios aquí .
Una visión general rápida de cómo funciona (de Wikipedia):
- Un sitio web www.example.com reparte subdominios a terceros no confiables
- Una de esas partes, Mallory, que ahora controla evil.example.com, atrae a Alice a su sitio
- Una visita a evil.example.com establece una cookie de sesión con el dominio .example.com en el navegador de Alice
- Cuando Alice visite www.example.com, esta cookie se enviará junto con la solicitud, como se especifica en las especificaciones de las cookies, y Alice tendrá la sesión especificada por la cookie de Mallory.
- Si Alice inicia sesión ahora, Mallory puede usar su cuenta.
Estamos creando una aplicación web donde los clientes tendrán sus propios subdominios: subdomain.ourapp.com
.
Cada cliente podrá cargar archivos de plantilla que pueden contener javascript (para la interacción del lado del cliente).
Dado que se puede usar javascript para leer / escribir cookies, ¿cómo podemos evitar el ataque de fijación de sesión anterior? Tenga en cuenta que solo estamos almacenando el ID de sesión en la cookie.
Los sitios como squarespace.com también permiten a los usuarios inyectar su propio javascript en sus páginas en su propio subdominio. Como sería casi imposible intentar filtrar las declaraciones de javascript que configuran / leen las cookies en los archivos de plantilla cargados, ¿cómo podemos mitigar este vector de ataque?