Descripción: Las cookies están presentes en toda la web, ya que permiten a almacenar información directamente en el navegador web del usuario, usualmente son utilizadas para guardar la sesión del usuario o información confidencial razón por la cual deben ser protegidas adecuadamente.

En este artículo se describen los indicadores HttpOnly y Secure que pueden mejorar la seguridad de las cookies.

Cuando se utiliza el protocolo HTTP, el tráfico se envía en texto sin formato, Un atacante podría escuchar el canal de comunicación entre el navegador y el servidor permitiéndole tomar control de una cookie y suplantar al usuario. Por otra parte el indicador HttpOnly impide que una cookie sea leída desde el JavaScript en caso de explotación de XSS(Cross-Site Scripting).

Remediación:

  • Agregando el indicador Secure a ASP.NET
    Edite el archivo Web.config y agregue la línea:
    <httpCookies httpOnlyCookies=”true” requireSSL=”true” />
  • Agregando el indicador Secure a PHP
    Edite el archivo php.ini y agregue la siguiente línea:
    session.cookie_secure=True
    session.cookie_httponly=On
  • Agregando el indicador Secure a JAVA
    En la sesión <cookie-config> del archivo web.xml agregue las siguientes línea:
    <http-only>true</http-only>
    <secure>true</secure>

Nota
* El indicador requireSSL debe considerarse solo para el sitio web HTTPS.
* Todas las aplicaciones deben usar el atributo httponly para la cookie de ID de sesión.

Referencias
https://access.redhat.com/solutions/338313
http://php.net/manual/en/session.security.ini.php
https://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like