¿Por qué las cookies http se envían automáticamente al servidor cuando se realizan solicitudes http y CSRF?

2

En el lado del cliente, una solicitud http enviada desde la página web A que apunta al sitio web B hará que todas las cookies que pertenecen al sitio web B se envíen a B (incluso cuando A no pertenece a B).

No entiendo por qué el comportamiento de las cookies se ha diseñado de esta manera. ¿No es obviamente seguro y la razón raíz detrás de CSRF (falsificación de solicitud entre sitios)?

Sé que en la actualidad "cookie del mismo sitio" está en camino. Pero quiero saber cuál fue la motivación del antiguo diseño inseguro.

    
pregunta Infinite 17.04.2017 - 16:49
fuente

2 respuestas

2

Según Wikipedia , el concepto de cookies proviene de Lou Montulli en junio de 1994. El protocolo HTTP todavía estaba muy joven.

Dado que HTTP carece de algunas características de seguridad fundamentales, como el cifrado, supongo que la seguridad no era su prioridad. También dudo que cualquiera de las personas que trabajan en ese momento podría haber anticipado que HTTP sería tan ampliamente utilizado hoy en día, incluso por actores malvados.

Es mucho más fácil recordar todas las fallas de vulnerabilidades / especificaciones que encontramos en los últimos 20 años, que anticiparnos a todas en primer lugar.

Como ha dicho, el atributo de cookie SameSite está en camino de corregir ese defecto . Hasta que sea compatible con los navegadores, los desarrolladores deben usar técnicas de mitigación de CSRF estándar .

    
respondido por el Benoit Esnard 17.04.2017 - 17:36
fuente
-1

Si lo entendí bien, se trata de 3er. galletas de fiesta Este enfoque es especialmente perfecto para los sitios de publicidad, por ejemplo (no solo ellos)

Como una página del dominio A tiene datos del dominio B, el recurso (digamos una imagen) es responder con una cookie (B le asigna una cookie). Ahora, cuando vaya al dominio C, que tiene otro recurso del dominio B, aquí el dominio B puede identificar que también visitó el dominio A.

Algunos navegadores admiten la desactivación del 3er. cookies de parte, pero no habilitadas de forma predeterminada (no estoy seguro)

Siempre que se realice una solicitud para un dominio X, todas las cookies se enviarán con la solicitud, por supuesto, por el navegador.

    
respondido por el user7859067 21.04.2017 - 00:26
fuente

Lea otras preguntas en las etiquetas