Riesgos de usar cookies no cifradas

Navega tus respuestas
1

Estoy en proceso de crear un sitio web de noticias curado y me pregunto sobre la seguridad del uso de cookies no cifradas para almacenar información básica del usuario (nombre y código postal). ¿Cuáles son los riesgos de seguridad de usar cookies no cifradas (texto sin formato) para almacenar esta información, y qué sucede con información más confidencial (por ejemplo, correo electrónico, contraseña o incluso número de tarjeta de crédito)? ¿Pueden otros sitios web ver las cookies que crea mi sitio?

    
pregunta owlswipe 26.09.2016 - 23:30
fuente

2 respuestas

2
  

¿Cuáles son los riesgos de seguridad de usar cookies no cifradas (texto sin formato)?   para almacenar esta información, y qué hay de más sensible   información (por ejemplo, correo electrónico, contraseña o incluso número de tarjeta de crédito)?

Hay muchas formas de poner en riesgo los datos de los usuarios. Pocos de los que se enumeran a continuación.

  1. Hay muchas extensiones de navegador Que espía al usuario y sus datos. Estás haciendo su trabajo fácil.
  2. Las cookies se pueden obtener sniffing . Esto revela información sensible al atacante. (Por supuesto, esto se puede evitar configurando la marca de seguridad en la cookie y utilizando https al visitar el sitio).
  3. Los volcados repentinos de los programas (navegadores) pueden contener estos datos confidenciales del usuario y posiblemente filtrarlos.
  4. Los usuarios pueden usar computadoras públicas en un cibercafé o kiosks . Entonces, el siguiente usuario que use esa computadora puede ver lo que he hecho. Probablemente estas cookies también.
  5. También, como lo mencionó @Matthew, los usuarios pueden manipular fácilmente estas cookies utilizando una extensión del editor de cookies y ver cómo se comporta la aplicación. (Digamos que cambié el nombre de pila a otra persona, ¿esto me da acceso a su cuenta?)
  

¿Pueden otros sitios web ver las cookies que crea mi sitio?

Dados los principales navegadores como Firefox, Chrome, este caso se considerará un error de seguridad crítico. Por lo tanto, siempre que sus usuarios utilicen un buen navegador, estarán listos.

    
respondido por el Sravan 27.09.2016 - 07:42
fuente
1

En primer lugar, la cookie se almacena en texto sin formato en el dispositivo del usuario final. En segundo lugar, podría ser manipulado. ¿Por qué almacenaría esto en una cookie en lugar de en los datos de la sesión? Cualquier cosa almacenada en una cookie (especialmente texto sin formato) en la que confía puede ser manipulada.

Con respecto a los otros sitios, tal vez. El atributo de dominio puede restringir quién puede verlo, pero eso se basa en que el navegador lo respete y no se explota ninguna otra vulnerabilidad.

    
respondido por el Matthew Kosmoski 27.09.2016 - 00:03
fuente

Lea otras preguntas en las etiquetas

¿Quién solucionará las vulnerabilidades encontradas en el Firewall? ¿Es segura la autenticación de clave compartida (WEP)?