Cookies seguras estrictas frente a prefijos de cookies

7

El indicador secure en las cookies impide que un sitio inseguro (que no sea HTTPS) las lea, pero aún pueden escribirse o eliminarse de un sitio inseguro. Hay dos nuevas características del navegador que intentan evitar que:

Me parece que el prefijo __Secure- también hace que la cookie sea estrictamente segura.

¿Cómo se comparan estas dos características entre sí? ¿Por qué hay dos soluciones distintas para sobrescribir las cookies? ¿Sigo necesitando el prefijo de la cookie si mis clientes tienen un navegador con un estricto soporte de cookies seguras?

    
pregunta Sjoerd 08.05.2017 - 10:59
fuente

1 respuesta

4

El borrador de cookies de seguridad estricta describe un limitación de cookies seguras estrictas donde los prefijos de cookies pueden ayudar:

  

Sin embargo, las mitigaciones en este documento no se dan completas      Confianza en que una cookie dada fue configurada de forma segura. Si un atacante es      capaz de suplantar una respuesta de " enlace " antes de      el usuario visita " enlace ", el agente de usuario aceptará cualquier      cookie que establece el origen inseguro, como la cookie "segura" no lo hará      sin embargo, estar presente en la tienda de cookies del agente del usuario. Una red activa      el atacante aún puede ser capaz de usar esta habilidad para montar un ataque      contra "example.com", incluso si ese sitio utiliza HTTPS exclusivamente.

Si aún no existe una cookie, un origen inseguro puede establecer una cookie segura, pero no una cookie con prefijo. Por lo tanto, los prefijos de cookies siguen siendo una buena idea al usar navegadores que implementan cookies estrictas y seguras.

    
respondido por el Sjoerd 29.05.2017 - 11:51
fuente

Lea otras preguntas en las etiquetas