¡¡Cookies!! ¿Que es de tu vida? (3)

2008 Octubre 15
by Pedro Laguna

Bueno, hoy, en una entrada rapida y liviana (que el tiempo no da para mucho mas), voy a contaros un poco acerca de las cookies marcadas como httpOnly.

httpOnly fue una caracteristica que introdujo IE 6 y que permite marcar una cookie para que no pueda ser accedida desde el objeto DOM document.cookie. Esto nos permite asegurar de cierta manera nuestra aplicacion frente a ataques de XSS debido a la imposibilidad de capturar las cookies asociadas a un dominio.

Podeis ver aqui un ejemplo de httpOnly donde mediante PHP se han creado dos cookies, una con httpOnly y otra sin esta propiedad. Se comprueba que solo se muestra la cookie insegura al hacer clic sobre el boton. Podeis echarle un ojo al codigo fuente de la pagina para mas informacion ;-)

Actualmente lo soportan la mayoria de los navegadores, por ejemplo Firefox desde su version 2.0.0.5, y nos puede permitir asegurar en cierta manera nuestras cookies, aunque ya demostro RSnake que seria posible obtener las cookies mediante javascript en algunos casos muy concretos mediante una prueba de concepto.

Con esto terminamos de definir propiedades generales de las cookies y en proximas entradas nos meteremos en la generacion de cookies que presentan los lenguajes de programacion web mas utilizados y algunos uso incorrectos de las mismas.

from → Firefox, Internet Explorer, Seguridad Informatica, XSS, cookies

No comments yet

Leave a Reply

Note: You can use basic XHTML in your comments. Your email address will never be published.

Subscripción al comentario vía RSS