-
¿Es posible robar cookies a través de MITM en el sitio ' HTTPS ' si faltan las cookies "Secure 'Flag?
-
¿Es posible robar cookies a través de MITM en el sitio ' HTTP ' si las cookies tienen marca 'Secure'?
¿Es posible robar cookies a través de MITM en el sitio 'HTTPS' si a las cookies les falta el indicador 'Secure'?
Si el cliente realiza una solicitud HTTP, el navegador envía las cookies a través de HTTP de texto sin formato al servidor, y el atacante puede leer la cookie. Un atacante de hombre en el medio generalmente puede causar una solicitud HTTP modificando cualquier página HTTP. Por ejemplo, si navega a cualquier sitio HTTP, puede agregar <img src="http://yourbank.com/">,loqueprovocaráunasolicituddetextosimpleayourbank.com,conlascookies.
LaSeguridaddetransporteestricta(HSTS)protegecontraesto,yaqueobligaaquelaconexiónserealiceatravésdeHTTPS.
¿EsposiblerobarcookiesatravésdeMITMenelsitio'HTTP'silascookiestienenunamarca'Segura'?
No,porquelascookiesnoseenvíanatravésdeHTTPdetextosinformatositienenelindicadordeseguridad.Sinembargo,todavíapuedeserposibleconfigurarlascookies.Yanoesposiblesobrescribirlascookiessegurasexistentes
Lea otras preguntas en las etiquetas tls man-in-the-middle cookies