|
Título: ¿Diferencias en cuanto a la seguridad en las cookies http vs https? Publicado por: Xyzed en 27 Diciembre 2020, 06:17 am Hola a todos los lectores. Hace unos meses (o casi un año) en un sitio web con una vulnerabilidad xss, pude obtener las cookies de algunos usuarios y asimismo hablar con el webmaster del sitio, que era de un amigo, para validar tanto del lado del cliente como del servidor la vulne. ¿A que se refiere el "cifrado" que tiene https y que lo hace más "seguro" con respecto a http?, siempre se considero un "riesgo" tener una web con el protocolo http, ¿eso quiere decir que teniendo un sitio web sin certificado SSL/TSL estoy bajo un riesgo SI O SI? Título: Re: ¿Diferencias en cuanto a la seguridad en las cookies http vs https? Publicado por: AlbertoBSD en 27 Diciembre 2020, 06:39 am ¿eso quiere decir que teniendo un sitio web sin certificado SSL/TSL estoy bajo un riesgo SI O SI? Si. Sencillamente en una comunicación sin cifrado toda la información va en texto plano, cualquier router intermedio entre el cliente y el servidor puede examinar los paquetes y extraer información sensible, Cookies, Datos de formularios, etc.. Saludos! Título: Re: ¿Diferencias en cuanto a la seguridad en las cookies http vs https? Publicado por: el-brujo en 27 Diciembre 2020, 10:51 am ¡Robo de cookies!
Pues el problema es que pueden robarte la cookie. Cookies (Secure, HttpOnly, and SameSite) Citar Cookies Secure y HttpOnly Una cookie segura sólo se envía al servidor con una petición cifrada sobre el protocolo HTTPS. Incluso con Secure, no debería almacenarse nunca información sensible en la cookies, ya que son inherentemente inseguras y este flag no puede ofrecer protección real. A partir de Chrome 52 y Firefox 52, los sitios inseguros (http:) no pueden establecer cookies con la directiva Secure. Para prevenir ataques cross-site scripting (XSS), las cookies HttpOnly son inaccesibles desde la API de javascript Document.cookie; Solamente se envían al servidor. Por ejemplo, las cookies que persisten sesiones del lado del servidor no necesitan estar disponibles para javascript, por lo que debería establecerse el flag HttpOnly. https://developer.mozilla.org/es/docs/Web/HTTP/Cookies Más información: https://blog.elhacker.net/2016/03/cabeceras-http-opciones-de-seguridad-hardering-en-el-servidor-web-apache-nginx.html |