Estaba investigando sobre seguridad en internet. Cuando llegué a la sección de Cookies, leí que los valores dentro de una cookie generalmente se almacenan solo después de cifrarlos. Pero un cifrado puede ser fácilmente descifrado por alguien que puede manipular las cookies. Teniendo en cuenta el hecho de que si hemos manipulado la cookie, si está encriptada o no, es posible acceder a la sesión correspondiente a esa cookie. Entonces, ¿cuál es realmente el propósito de cifrar la cookie?
Si la clave de cifrado se almacena en el servidor, solo el servidor puede descifrar la cookie y solo el servidor puede realizar cambios predecibles en la cookie. Un atacante puede realizar cambios en el texto cifrado de la cookie, pero no puede saber de antemano qué efecto tendrán esos cambios. Si la cookie incluye además un código de autenticación del mensaje u otra medida contra la manipulación, el atacante no puede realizar cambios en una cookie cifrada. sin invalidarla.
Al cifrar la cookie también se evita que el usuario y otras personas en la misma computadora puedan ver qué información se almacena. Esto permite al servidor asociar información confidencial con un usuario (por ejemplo, "iniciar sesión automáticamente" información), sin necesidad de rastrear el lado del servidor de la sesión.
El cifrado de cookies no hace nada para evitar que los ataques de robo de cookies se utilicen para hacerse pasar por un usuario; Para defenderse de eso, se necesitan otras medidas.
Las cookies se pueden utilizar por una variedad de razones. En el nivel más simple, puede contener un número aleatorio que informa al sitio que usted es la misma persona que visitó anteriormente, ya sea con fines de seguimiento o para proporcionar una funcionalidad mejorada, como las preferencias del usuario. Dichas cookies no necesitan estar encriptadas.
Las cookies cifradas se utilizan cuando desea conservar algo del lado del cliente que no desea que el usuario cambie y / o vea. Por ejemplo, al completar un proceso de autenticación, establecerá una cookie cifrada que contiene los detalles del usuario para que se presenten con cada solicitud posterior. Esto es lo que proporciona la apariencia de una sesión iniciada cuando, de hecho, el navegador realiza una serie de solicitudes atómicas no relacionadas. En la mayoría de los sitios web grandes, esta administración de sesión autenticada es manejada por servicios de infraestructura de front-end que ocultan esta complejidad al desarrollador de la aplicación.
La cookie también se puede usar para contener el estado actual de la aplicación, lo cual es útil si la aplicación se ejecuta en varios sitios geográficos y se espera que el usuario regrese a otro sitio antes de que haya tenido la oportunidad de replicar los datos allí.
En cuanto a su último punto, si manipula los datos cifrados, casi siempre los inutilizará para el propósito para el cual fue diseñado. Dependiendo de la aplicación, causará que la aplicación del lado del servidor falle o que la validación de los datos cifrados sea incorrecta.
Lea otras preguntas en las etiquetas encryption cookies tampering