Eliminar cookie o configurar httponly y seguro

Navega tus respuestas
1

Actualmente estoy en medio de una evaluación de vulnerabilidad y he encontrado que las cookies no tienen el seguro o la configuración de HttpOnly. He recomendado que configuren ambos para que sean verdaderos para sus cookies, pero los desarrolladores respondieron que no van a hacerlo por los siguientes motivos:

  • No podrán eliminar la cookie al cerrar sesión a través de javascript
  • La cookie solo se usa para metadatos, no para autenticar solicitudes de datos

¿Es esta una defensa válida? No puedo encontrar ninguna razón (relacionada con la seguridad) para elegir eliminar una cookie a través de la configuración de Seguridad y HttpOnly.

    
pregunta 20.10.2016 - 16:30
fuente

4 respuestas

1

La marca de seguridad no tiene nada que ver con la participación de javascript. Solo habilita o inhabilita la transmisión de cookies sobre texto plano inseguro en caso de que el servidor entretenga las solicitudes http y https. El hecho de no establecerlo hace que su aplicación sea vulnerable al secuestro de cookies sobre la marcha

HttpOnly flag, sí, definitivamente impone alguna restricción a que javascript lea la cookie, pero la defensa contra click jack y XSS, espero que tengan este conocimiento porque no hay obligación de cerrar sesión para hacer que las cookies estén disponibles para javascript

    
respondido por el 8zero2.ops 20.10.2016 - 16:43
fuente
1

Los tokens de inicio de sesión / sesión o tokens que llevan datos del usuario deben ser seguros y solo HTTP, o se convierten en un problema de seguridad.

Al pulsar explícitamente un botón de cierre de sesión, en lugar de solo la caducidad del token, se obtiene una solicitud de "cierre de sesión" al servidor. Haga que el servidor invalide el token de autenticación (cookie), pero configúrelo en algún valor no deseado. Por ejemplo, Set-Cookie: token = logout.

Eliminar una cookie puede ser una acción del lado del cliente, pero la configuración de una cookie se puede hacer en el lado del servidor y aún puede mantener HTTPOnly y Secure (lo que, como señala 8zero2.ops, no está relacionado con este problema).

    
respondido por el katrix 20.10.2016 - 17:04
fuente
0

Puede pedirles que caduquen la cookie cuando el usuario visite el sitio web. Y si la cookie contiene información confidencial (id de sesión), debe invalidar la sesión en el servidor.

    
respondido por el one 20.10.2016 - 17:04
fuente
0

Parece que estas son cookies de identificación de sesión, en cuyo caso seguramente querrán tener activadas las banderas httponly y de seguridad. Las cookies deben ser gestionadas por el servidor y no por el cliente. La implicación de los desarrolladores en este caso es que están confiando demasiado en los datos recibidos del cliente, lo cual es muy malo. Los remitiría a la Hoja de referencia de gestión de sesiones de OWASP enlace

    
respondido por el UTF-9 20.10.2016 - 17:09
fuente

Lea otras preguntas en las etiquetas

¿Se trata de un intento de hackeo por SMS? ¿Se puede comprometer el inicio de sesión de una clave ssh a un servidor remoto seguro cuando está en una red operada por un mal actor?