Vlákno názorů k článku
Chrome zkrátí životnost cookies doručených po HTTP
od jouda - Nějak nechápu, co si představit pod "ale zabrání...
-
jouda (neregistrovaný)
Nějak nechápu, co si představit pod "ale zabrání v přístupu k identifikačním údajům neautorizovaným třetím stranám". Proboha jak? Pokud tu cookii někdo nastaví na 100 let po https a nenastaví jí jako secure? Nebo tím, že bude sniffnutá cookina použitelná "jen" rok, což útočníka zcela jistě zaskočí? (navíc sniffnutá cookina bude mít životnost tak dlouho jak jí danej server akceptuje, a ne když jí browser oprávněného uživatele zapomene)
Spíš bych si (jako velmi hloupý nápad, rozbilo by to všechny weby co doposud používaj https jen na login, navíc by to podělalo persistenci na load balancerech) dokázal představit automatický upgrade cookiny po https na Secure.
Nebo když jde někdo po http a útočník je na trase (to je asi jediná neautorizovaná třetí strana), jak mu zkrácení životnosti čehokoli uškodí? Že sniffnutou session cookinu nebude moct použít za dva roky, ale jen za rok/měsíc?
(a navíc to dost popírá smysl flagů Secure, HttpOnly a Expires u cookin)
-
Filip JirsákStříbrný podporovatelCookies se posílají s každým požadavkem prohlížeče na danou doménu a cestu. Takže nejde o to, že by útočník odposlechnout cookie použil za dva roky, ale o to, že prohlížeč tu cookie může i za dva roky zbytečně posílat a útočník tak má šanci jí odposlechnout. Ale taky si myslím, že tohle je jen velmi marginální důvod. Spíš mi připadá hloupé, že takovou samozřejmost jako prosazování HTTPS je nutné vůbec nějak obhajovat.
