Indicador "Seguro" de Cookies

7

¿Cómo funciona el indicador "seguro" de las cookies para determinar si se deben incluir las cookies?

por ejemplo en una conexión HTTP (sin cifrar) ...

  1. el usuario aún no tiene una cookie e intenta iniciar sesión;
  2. el usuario inicia sesión correctamente, el servidor debe enviar una cookie "segura" al cliente;

    • ¿El servidor enviará cookies al cliente a través de HTTP?
    • ¿Es el servidor el responsable de verificar la conexión y decidir incluir una cookie "segura"?
    • ¿O se rechazan las cookies con el indicador "seguro" en el nivel HTTP?
pregunta ted 06.12.2012 - 14:26
fuente

3 respuestas

12

El servidor puede pedirle al navegador que configure las cookies con el indicador de seguridad en HTTP, pero el navegador solo debe incluirlas en las respuestas a través de HTTPS.

Pero nunca debe presentar una solicitud de autenticación a través de HTTP. Respuestas directas a las solicitudes de autenticación a través de HTTP. Los primeros pueden ser manipulados para copiar las credenciales en otros lugares, mientras que los últimos pueden ser rastreados.

Mezclar y combinar HTTP y HTTPS no es una buena receta para un sitio seguro. Deben estar claramente delimitados.

    
respondido por el symcbean 06.12.2012 - 14:49
fuente
4

El navegador debe asegurarse de que la cookie segura solo se devuelva al servidor para las solicitudes HTTPS. Su aplicación debe asegurarse de que las cookies seguras solo se crean , si la página fue llamada con HTTPS.

    
respondido por el martinstoeckli 06.12.2012 - 15:15
fuente
2

Una cookie se almacena en el cliente y se envía al servidor cuando las "condiciones son correctas" (en particular, las cookies están asociadas a un servidor y se envían de vuelta a ese servidor solo ) . Una cookie marcada como segura es una cookie que se enviará al servidor solo cuando la conexión sea "segura" (es decir, SSL, también conocida como "HTTPS").

El contenido de la cookie está bajo el control del servidor: el navegador almacenará en la cookie solo lo que el servidor le dice que almacene. Marcar una cookie como "segura" tiene sentido si el contenido de la cookie es sensible de alguna manera (son confidenciales o no deberían permitir alteraciones externas o, más a menudo, ambas al mismo tiempo). Si los contenidos de las cookies son confidenciales, nunca deben enviarse a través de HTTP simple; no cuando la cookie se envía de nuevo al servidor (el indicador "seguro" se refiere a dar instrucciones al navegador para que no cometa ese error específico), sino también cuando se crea la cookie inicialmente.

En pocas palabras, si el servidor envía, a través de HTTP simple , una cookie para almacenamiento en el cliente con el indicador "seguro", entonces algo está mal .

En palabras aún más cortas: necesita HTTPS en todo el sitio . Parcial HTTPS es difícil de hacer bien (hasta cierto punto, es matemáticamente imposible para hacerlo bien).

    
respondido por el Thomas Pornin 06.12.2012 - 18:00
fuente

Lea otras preguntas en las etiquetas