A explicação sobre os cookies que não tem os livros de programação

Escrevo este post para atender um pedido dos meus ex-alunos de computação é programação. Eu espero que possa servem-le no seu desenvolvimento profissional:

Todos conhecemos que os cookies são pequenos pacotes de dados que se acumulam em nossos computadores, principalmente através de nossos navegadores e pode servir para manter o token de autenticação e autorização, usado como um armazenamento temporário de dados diferentes no lado do cliente (ex. um carrinho de compras), mantendo o estado através de vários pedidos na aplicação web (falta que tem o protocolo HTTP), entre outros usos.
Mais, o que nunca tem os livros de programação (corrigir-me se eu estiver errado) é sobre os atributos que você pode definir nos cookies para reforçar os indicadores de segurança, que são:

  • secure: Você pode especificar que o navegador so posse enviar apenas o cookie através de um canal HTTPS encriptada, mais, o atributo não é respeitado se a aplicação web suporta, ao mesmo tempo, com os protocolos HTTP e HTTPS.
  • HttpOnly: Indica que o cookie só pode ser acessado por meio de uma solicitação HTTP e não pelo um script do lado do cliente, como JavaScript. Isso evita ataques XSS, no entanto não tudo os navegadores respeitam o atributo.
  • domain: fine o domínio do qual o cookie pode ser acessado, por exemplo, se o domínio do aplicativo da Web é app.mydomain.com, o cookie só pode ser acessado a partir desse domínio e os subdomínios restantes que podem existir como fotos.app.mydomain.com ou mesmo ciber-gatuno.app.mydomain.com, no entanto, o cookie não pode ser acessado a partir otherApp.mydomain.com. Se queremos reduzir esta restrição deve ser definido um domínio maior, como mydomain.com. É claro que, se um servidor comprometido em qualquer um dos subdomínios, esta poderia servir para recolher cookies para a inferência posterior dos métodos de encriptação. Se o domínio não é específicado, as políticas de cookies infere que é igual ao domínio que o criou.
  • path: Cuanto mais específico pode ser o valor, é fornecido mais segurança. Se domain e path está especificado, o cookie só pode ser acessado se os campos no cabeçalho da solicitação HTTP contém esses valores.
  • expires: Define o tempo durante o qual o cookie é válido, se não fora especificado, que é válido somente durante a sessão em que foi criado. Esta é, na minha experiência, o único atributo que ficam em livros de programação, o atributo está ligado com Max-Age (O ideal é usar so um), mas pode ser estudado sobre no links que são fornecidos no final do post.

É importante reiterar que somente a configuração sistêmica desses atributos podem reforçar os indicadores de segurança, nenhum atributo só pode fazer isso. A teste  OTG-SESS-002 destina-se a verificar se os atributos descritos acima estão configurados corretamente. Então eu deixo alguns links interessantes pra estudar:

Espero que tenham gostado do post e deixe-me saber a sua opinião nos comentários. Obrigado pela atenção.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s