¿Es SSL un factor atenuante para HTTP solo no está configurado en las cookies?

  

¿La ejecución de estos sitios en SSL es un factor mitigante suficiente?

     

Si no, ¿cuál sería la gravedad de este hallazgo?

La ejecución de los sitios bajo HTTPS es buena, pero no mitigará los tipos de ataques contra la falta de indicadores HttpOnly y Secure .

En el caso de Secure cookies sin HttpOnly , un ataque XSS podría leerlas en caso de que exista una falla XSS en un sitio.

Si se establece HttpOnly , pero no Secure , entonces un atacante podría forzar al navegador a filtrar la cookie a través de HTTP simple:

Diga que su sitio web es https://www.foo.com y que configura una cookie de ID de sesión con HttpOnly pero no Secure . Si el atacante podría hacer que un usuario visite su propio sitio web (o podría ser un foro, etc., en el que el atacante ha publicado), el atacante podría haber incrustado una etiqueta de imagen en su propia página: <img src="http://www.foo.com/bar.jpg"/>.Noesnecesarioqueexistalaimagen,nielhechodequesuservidortengaelpuerto80abierto.

DebidoaqueelindicadorSecurenoestáestablecido,elIDdelasesiónprivadasefiltraahoraatravésdeunaconexiónHTTPsincifraryaqueelnavegadorenviarátodaslascookiesquenoseanSecureconlasolicitud.Estoabriríasuaplicaciónaun ataque Man in The Middle . En el caso de que el puerto 80 esté cerrado en su servidor, el atacante podría simplemente MITM esta conexión y redirigirla a otro servidor que esté abierto.

HTTPOnly no está realmente relacionado con HTTPS. Le indica al navegador que no haga visible la cookie a JavaScript. Entonces, si hay una falla XSS, independientemente de HTTPS, no debería poder robar la cookie a través de esa falla.

El seguro, si se recibe a través de HTTPS, le indica al navegador que solo envíe la cookie a través de las conexiones HTTPS. Está pensado para evitar que un atacante rastree la cookie a través de la red (red inalámbrica abierta, etc.).

HTTPOnly no deja de rastrear en una red inalámbrica abierta. Secure no impide que JavaScript lea la cookie en caso de XSS.