Στον τομέα της ασφάλειας ιστού, οι επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών είναι η πιο κοινή μορφή επίθεσης και είναι ένα μακροχρόνιο πρόβλημα και αυτό το άρθρο θα εισαγάγει τους αναγνώστες σε μια τεχνολογία για την άμβλυνση αυτής της πίεσης, δηλαδή τα cookies μόνο HTTP.
1. Εισαγωγή στα XSS και HTTP-only Cookies
Οι επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών είναι ένα από τα κοινά προβλήματα που μαστίζουν την ασφάλεια του διακομιστή ιστού. Οι επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών είναι μια ευπάθεια ασφαλείας από την πλευρά του διακομιστή που προκαλείται συχνά από την αποτυχία του διακομιστή να φιλτράρει σωστά τα δεδομένα εισόδου χρήστη όταν υποβάλλονται ως HTML. Οι επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών μπορούν να προκαλέσουν διαρροή ευαίσθητων πληροφοριών των χρηστών του ιστότοπου. Για να μειωθεί ο κίνδυνος επιθέσεων cross-site scripting, ο Internet Explorer 6 SP1 της Microsoft εισάγει μια νέα δυνατότητα.
Τα cookies έχουν ρυθμιστεί σε HttpOnly για να αποτρέπουν επιθέσεις XSS και να κλέβουν περιεχόμενο cookie, γεγονός που αυξάνει την ασφάλεια των cookies και, ακόμη κι έτσι, δεν αποθηκεύουν σημαντικές πληροφορίες στα cookies.
Ο σκοπός της ρύθμισης του HttpOnly είναι να αποτρέψει τις επιθέσεις XSS εμποδίζοντας το JS να διαβάζει cookies.
Εάν μπορείτε να το διαβάσετε σε JS, ποιο είναι το νόημα να έχετε HttpOnly;
Στην πραγματικότητα, για να το θέσω ωμά, είναι για να εμποδίσουμε το javascrip{filtering}t να διαβάζει ορισμένα cookies, δηλαδή συμβόλαια και συμβάσεις, που ορίζουν ότι το javascrip{filtering}t δεν επιτρέπεται να διαβάζει cookies με HttpOnly, αυτό είναι όλο.
|
Δημοσιεύτηκε στις 18/9/2016 3:28:30 μ.μ.
|
|
|
