Borrar datos de texto en una cookie de sesión: ¿qué tipo de vulnerabilidad?

7

Estaba ejecutando Wireshark mientras utilizaba un sitio web, cuando noté que una cookie de sesión almacenaba en texto claro la dirección de correo electrónico, mi nombre, mi género y la fecha de nacimiento que configuré durante el proceso de registro.

En mi opinión, es una vulnerabilidad porque le permite a un atacante que está olfateando el tráfico recuperar datos personales que son inútiles para administrar la sesión (¿por qué es necesario que almacenen mi fecha de nacimiento en una cookie?) y que, en cualquier caso, no debe ser enviado en texto claro.

Antes de enviar un informe al sitio web, me gustaría estar seguro del término adecuado para esta vulnerabilidad. Navegué a través del sitio web de CWE ( enlace ), y creo que este debería ser un ejemplo de CWE-315: Almacenamiento de texto claro de información confidencial en una cookie o en un caso de CWE - 319: Transmisión de información confidencial de texto claro.

Mis dos preguntas (estrictamente relacionadas) son:

  1. ¿la información que se menciona arriba (fecha de nacimiento, sexo, primer nombre, dirección de correo electrónico) se considera información confidencial en el sentido de las definiciones de CWE? El servidor está ubicado en un país de la UE, si eso ayuda;
  2. Si son datos confidenciales, ¿es este un ejemplo de CWE-315, CWE-319, ambos o algo completamente distinto?
pregunta A. Darwin 20.03.2016 - 18:23
fuente

1 respuesta

6
  1. Sí, esta información debe considerarse confidencial, particularmente en el agregado. Las direcciones de correo electrónico siempre son PII, y al agregar la fecha de nacimiento, el género y el nombre solo lo hace aún más.

  2. Definitivamente es un ejemplo de CWE-315. También puede ser un ejemplo de CWE-319, si la cookie se transmite a través de HTTP. Si solo se transmite a través de HTTPS, no es un problema de CWE-319.

Estoy de acuerdo en que, independientemente de si se requiere HTTPS o no, este es definitivamente un problema que debe informar. Esta no es una práctica aceptable, y más aún si la cookie es una cookie persistente, y no solo una cookie de sesión en memoria.

    
respondido por el Xander 20.03.2016 - 18:44
fuente

Lea otras preguntas en las etiquetas