Uno de los problemas que presentamos los desarrolladores es el control de los Cookies usados en transacciones seguras.
\nEl primer inconveniente que se presenta cuando usamos cookies bajo protocolo SSL o TSL (el conocido HTTPS cion la S al final de “secure”) es que estos cookies si no tomamos las debidas precauciones en el manejo de los mismos, persisten si el usuario deja la transacci\u00f3n segura para continuar visitando otras \u00e1reas de nuestro sitio, lo que convierte su contenido en interceptable.<\/p>\n
Otro de los casos que permite revelar las cookies que pasan a trav\u00e9s de una conexi\u00f3pn segura y que adem\u00e1s es muy com\u00fan, es aquel en el que en una misma p\u00e1gina solicitada por HTTPS, solicitamos recursos por simple HTTP, como por ejemplo una imagen en una cabecera que se usa indistintamente en p\u00e1ginas seguras y no seguras. En la cabecera HTTP de la solicitud de dicha imagen el servidor env\u00eda todos los cookies del dominio que hace la solicitud en los cuales por supuesto incluye aquellos que se usan para el control de sesi\u00f3n y otras variables de la aplicaci\u00f3n “ya no tan segura”.<\/p>\n
Es importante recordar que el protocolo HTTP es “stateless” o en otras palabras, no maneja estado de sesi\u00f3n, por lo que cada conexi\u00f3n se realiza como si fuera la primera. Precisamente para poder emular un estado de sesi\u00f3n es que las diferentes plataformas de desarrollo utilizan el concepto de un identificador de sesi\u00f3n (session ID), que no es m\u00e1s que un cookie que funciona como identificador de sesi\u00f3n y al cual se asocia un \u00e1rea de memoria en el servidor en la cual se guardan las variables de sesi\u00f3n.<\/p>\n
En fin, como ya habr\u00e1n podido entender, es necesario para la seguridad de la aplicaci\u00f3n proteger los cookies, y para ello el protocolo HTTP 1.1 soporta un par\u00e1metro para cada cookie conocido como “secure flag” que al ser activado no permite que los cookies con dicho atributos sean transmitidos en conexiones HTTP simple o inseguras.<\/p>\n
Este atributo se puede agregar por cada cookie o en general, y cada plataforma conocida lo soporta. Por ejemplo:<\/p>\n
En PHP
\nColoque en true el par\u00e1metro httponly:
\nsetcookie( name, value, expire, path, domain, secure, httponly);<\/p>\n
En el php.ini:
\nsession.cookie_secure = on<\/p>\n
En JSP \/Java Server Pages:<\/p>\n
Cookie holaCookie = new Cookie(“”,text);
\nholaCookie.setSecure(true);<\/p>\n
En ASP.NET
\nColoque en el web.config la siguiente l\u00ednea:<\/p>\n
<httpCookies requireSSL=”true” \/><\/p>\n
Para hacerlo de forma expl\u00edcita por cada cookie:<\/p>\n
HttpCookie cookie = new HttpCookie(“nombre”);
\ncookie.Secure = True;
\ncookie.Value = “Jos\u00e9”;<\/p>\n