elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  ¿Diferencias en cuanto a la seguridad en las cookies http vs https?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Diferencias en cuanto a la seguridad en las cookies http vs https?  (Leído 3,361 veces)
Xyzed


Desconectado Desconectado

Mensajes: 307



Ver Perfil
¿Diferencias en cuanto a la seguridad en las cookies http vs https?
« en: 27 Diciembre 2020, 06:17 am »

Hola a todos los lectores.
Hace unos meses (o casi un año) en un sitio web con una vulnerabilidad xss, pude obtener las cookies de algunos usuarios y asimismo hablar con el webmaster del sitio, que era de un amigo, para validar tanto del lado del cliente como del servidor la vulne.
¿A que se refiere el "cifrado" que tiene https y que lo hace más "seguro" con respecto a http?, siempre se considero un "riesgo" tener una web con el protocolo http, ¿eso quiere decir que teniendo un sitio web sin certificado SSL/TSL estoy bajo un riesgo SI O SI?
En línea

...
AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: ¿Diferencias en cuanto a la seguridad en las cookies http vs https?
« Respuesta #1 en: 27 Diciembre 2020, 06:39 am »

¿eso quiere decir que teniendo un sitio web sin certificado SSL/TSL estoy bajo un riesgo SI O SI?

Si.

Sencillamente en una comunicación sin cifrado toda la información va en texto plano, cualquier router intermedio entre el cliente y el servidor puede examinar los paquetes y extraer información sensible, Cookies, Datos de formularios, etc..

Saludos!
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: ¿Diferencias en cuanto a la seguridad en las cookies http vs https?
« Respuesta #2 en: 27 Diciembre 2020, 10:51 am »

¡Robo de cookies!

Pues el problema es que pueden robarte la cookie.

Cookies (Secure, HttpOnly, and SameSite)

Citar
Cookies Secure y HttpOnly

Una cookie segura sólo se envía al servidor con una petición cifrada sobre el protocolo HTTPS. Incluso con Secure, no debería almacenarse nunca información sensible en la cookies, ya que son inherentemente inseguras y este flag no puede ofrecer protección real. A partir de Chrome 52 y Firefox 52, los sitios inseguros (http:) no pueden establecer cookies con la directiva Secure.

Para prevenir ataques cross-site scripting (XSS), las cookies HttpOnly son inaccesibles desde la API de javascript Document.cookie; Solamente se envían al servidor. Por ejemplo, las cookies que persisten sesiones del lado del servidor no necesitan estar disponibles para javascript, por lo que debería establecerse el flag HttpOnly.

https://developer.mozilla.org/es/docs/Web/HTTP/Cookies

Más información:
https://blog.elhacker.net/2016/03/cabeceras-http-opciones-de-seguridad-hardering-en-el-servidor-web-apache-nginx.html
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Uso http::cookies[perl]??
Scripting
isseu 1 2,707 Último mensaje 20 Enero 2009, 20:25 pm
por ^Tifa^
Configurar conexiones Http y Https
Java
alzehimer_cerebral 0 2,866 Último mensaje 24 Junio 2011, 01:38 am
por alzehimer_cerebral
Balanceador HTTP, HTTPS y MySQL
GNU/Linux
Gotttlieb 0 1,979 Último mensaje 19 Abril 2013, 11:29 am
por Gotttlieb
Https por http
Android
andrexpunk 0 2,422 Último mensaje 18 Junio 2013, 14:23 pm
por andrexpunk
Firefox 60 aumentará la seguridad al tratar con contenidos HTTP y HTTPS
Noticias
wolfbcn 0 1,390 Último mensaje 25 Febrero 2018, 02:32 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines