it-swarm-es.com

Cookies inseguras debido al equilibrador de carga

Tengo un equilibrador de carga que finaliza las solicitudes https a http y, por lo tanto, mis servidores de fondo las ven como http. Como resultado, todas mis cookies se configuran sin un indicador de seguridad cuando ve las cookies en la versión https de este sitio. ¿Importa esto de todos modos ya que mezclamos http y https? Amazon.com y varios otros grandes sitios de comercio electrónico también parecen tener cookies no seguras en https.

11
Bradford

Una cookie tiene la bandera "segura" si así lo dice. Teóricamente, nada impide que un servidor HTTP (no HTTPS) sirva una cookie "segura"; pero el software de su servidor puede tener problemas, ya que, desde su punto de vista, el protocolo es HTTP y una cookie segura no tiene mucho sentido si transita por HTTP. Su servidor no sabe que está detrás de una puerta de enlace HTTPS a HTTP. Por otro lado, el cliente ve una conexión HTTPS, y obtener una cookie segura a través de dicha conexión no lo sorprenderá en absoluto.

El problema con una cookie no segura es que el cliente la enviará felizmente a cualquier servidor que se parezca al servidor de origen. En presencia de un atacante activo, debe asumir que el atacante podría secuestrar cualquier cookie no segura. Dependiendo de su situación exacta, esto puede ser una amenaza mayor, menor o inexistente.

9
Thomas Pornin

El indicador de seguridad de las cookies de sesión es importante, porque de lo contrario la cookie se envía a través de http. Un atacante puede engañar a la víctima para que abra una conexión http incluso si señala todos los enlaces y recursos a https.

Normalmente funciona para establecer el indicador; seguro en el servidor de aplicaciones. Loadbalancer solo enviará la respuesta dentro de la conexión https y todo está bien para el cliente. El problema principal es decirle al equilibrador de carga que incluya la cookie en su conexión http al servidor de aplicaciones. Depende de la implementación concreta del equilibrador de carga si lo hace automáticamente o si necesita alguna configuración.

3

Si importa. Si el indicador de seguridad no está configurado en esas cookies, usted es vulnerable a ataques tipo Firesheep, lo cual es malo y podría afectar negativamente a los usuarios (por ejemplo, especialmente los usuarios que se conectan a través de una conexión inalámbrica abierta). Por lo tanto, le recomiendo que se asegure de que el indicador de seguridad esté configurado en esas cookies.

2
D.W.

De wikipedia

Una cookie segura solo se usa cuando un navegador está visitando un servidor a través de HTTPS, lo que asegurará que la cookie siempre esté encriptada cuando se transmite de cliente a servidor y, por lo tanto, es menos probable que esté expuesta al robo de cookies a través de escuchas.

Entonces, la respuesta realmente es si le preocupa el contenido de esas cookies que se envían a través de http o si los datos son confidenciales y siempre deben enviarse a través de https.

1
Mark Davidson