Imagine example.com
que es accesible a través de HTTP y HTTPS. La mayoría del contenido del sitio no es seguro y no será malo si el atacante lo lea. Una de las rutas: example.com/secure_zone
es accesible solo a través de HTTPS y contiene información a la que el atacante no debe acceder. example.com/secure_zone
tiene su cookie con la ruta establecida en /secure_zone
con los atributos httponly
y secure
.
¿Hay algún problema de seguridad aquí? ¿Hay alguna diferencia si la cookie no tiene un atributo httponly?
Nota: el atacante en la posición MITM puede acceder completamente a los contenidos de enlace pero no puede acceder a enlace gracias al SOP de Javascript.