RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Wednesday, February 6. 2008

httpOnly już nie tylko w IE

Jakiś czas temu Microsoft wprowadził w IE obsługę dodatkowej flagi httpOnly dla cookies. Mówiąc obrazowo zastosowanie tej flagi ukrywało oznaczone nimi cookies przed skryptami, co znacznie zmniejszało skutki ewentualnego wykrycia jakiegoś XSS na stronie. Po prostu "wstrzyknięty" za pośrednictwem XSS skrypt nie jest w stanie wykraść oznaczonego tą flagą cookie z identyfikatorem sesji, a więc przejęcie sesji nie jest możliwe (w ten sposób). Przez długi czas flaga ta była obsługiwana wyłącznie przez IE. Okazuje się jednak, że uznawanie w chwili obecnej tej flagi za rozszerzenie specyficzne dla IE jest błędem. Jest ona obsługiwana zarówno przez Firefoxa (od wersji 2.0.0.5) jak i będzie obsługiwana przez Operę (od wersji 9.5 b1). Innymi słowy - cookie sesyjne poza flagą secure powinno mieć również flagę httpOnly.

Ślady
httpOnly a PHP
Kolega Wampir pisze na temat wsparcia flagi httpOnly przez przegladarki inne niz MS IE. To ja napisze o drugim końcu kija czyli o implementacji tejże flagi w PHP.Od dawna w PHP jest dostępna funkcja setcookie() oraz jej bliźniak, setrawcookie() różn
Weblog: Blog? Jaki blog?!
Przesłany: Feb 07, 07:20
Komentarze
Brak komentarzy
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

(...) re-authentication is required (...)
Thursday, 23 July 2009
Zagadka: CompactFlash
Wednesday, 7 January 2009
Jak zepsuć walidację
Wednesday, 17 September 2008
Understanding the Web browser threat (...)
Tuesday, 1 July 2008
Security B-sides Kraków 2013
Tuesday, 12 February 2013
Co zrobić z wyjątkiem?
Wednesday, 18 April 2012
Kiedy powstał tamten post - odpowiedź
Friday, 13 November 2009
Bug w httplib?
Thursday, 17 May 2007
Co za czasy...
Tuesday, 2 February 2016
Jeden 0-day i...
Wednesday, 22 December 2010