Una aplicación PHP que actualmente estoy probando devuelve y página de error cuando el valor de la cookie de sesión se establece como una cadena enorme. Esto lleva a la divulgación de información también. ¿Qué puedo recomendar al desarrollador para evitar la generación de la página de error cuando el valor de la cookie se sobrepasa?
El problema se debe a que la aplicación espera que el valor de la cocinera sea algo sin verificar primero si ese valor es algo para poder salir correctamente si no lo es, y en su lugar termina lanzando una excepción (no controlada).
Lo que el desarrollador debe hacer primero es deshabilitar la visualización de errores en los servidores de producción y, en cambio, simplemente devolver un error 500 con una página de error opcional fácil de usar, o al menos una página en blanco para evitar la divulgación de información.
No creo que haya una necesidad de validar explícitamente el valor de la cookie, esto no es algo que un usuario pueda ingresar y hacer un error tipográfico, por lo que no hay necesidad de validación y una página de error como "cookie no válida", alguien tendría que modificar intencionalmente el valor de esa cookie, en cuyo caso es normal que la aplicación no lo espere y simplemente arroje un error 500, siempre que PHP esté configurado correctamente para no revelar información confidencial sobre el error y, en su lugar, registrarlo.
La aplicación emite un error al exponer información confidencial porque el desarrollador no maneja ese error específico. El desarrollador debe desinfectar los datos o manejar el error que da error HTTP 500. Más información
Lea otras preguntas en las etiquetas cookies