¿Hay algún servidor HTTP que pueda detectar dos cookies con el mismo nombre, pero emitidas desde diferentes subdominios?

0

Como seguimiento de la pregunta Related Cookie Attack , me gustaría ver si hay cualquier servidor que sea capaz de detectar instancias en las que se envíen múltiples cookies desde múltiples dominios.

En otras palabras, ¿qué combinaciones de software cliente y software de servidor pueden detectar cuando se han emitido múltiples cookies para múltiples dominios?

    
pregunta random65537 08.06.2013 - 15:48
fuente

2 respuestas

4

Es imposible para el servidor determinar de dónde se originó una cookie, y si una aplicación está diseñada correctamente, el origen de una cookie no debería ser una preocupación. Basado en la Política del mismo origen para cookies :

  

www.foo.bar.example.com puede configurar una cookie para enviarla a   * .bar.example.com o * .example.com, pero no a * .something.else.example.com o * .com

Usando esta sencilla regla, se puede evitar por completo el problema de una cookie de configuración de atacante en un dominio relacionado.

    
respondido por el rook 08.06.2013 - 18:23
fuente
3

Las cookies enviadas por los User-Agents con cada solicitud HTTP solo contienen pares nombre-valor, y como tal no es posible determinar su origen desde una única solicitud HTTP a un servidor.

La única forma de detectar diferentes cookies (puedo pensar) es pasar al usuario a través de varios redireccionamientos en varios subdominios y rutas, y verificar (y registrar) qué cookies puede ver cada punto final de redirección).

    
respondido por el Joel L 08.06.2013 - 16:18
fuente

Lea otras preguntas en las etiquetas