cookies standards-compliance

Estado actual del mecanismo de gestión de estado HTTP(cookies)



standards-compliance (3)

El consenso parece ser que todavía no están listos para ser utilizados. Algunas de las razones para ello se mencionan aquí y se relacionan principalmente con el cumplimiento del navegador.

Sin embargo, sospecho que su motivo para preguntar esto podría estar relacionado con el problema de secuestro de la sesión que ha sido puesto de FireSheep por aplicaciones como FireSheep .

Si ese es el caso, me encontré con un documento interesante que propone una solución al problema llamado OTC: cookies únicas. Podría valer la pena una lectura. Su título es Cookies de una sola vez: Prevención de ataques de secuestro de sesión con credenciales desechables y es de 4 estudiantes de doctorado de Georgia Tech.

(En caso de que el enlace de Google Docs no funcione, aquí hay un enlace directo al PDF ).

En resumen, básicamente concluye:

Si bien la sustitución completa de HTTP por HTTPS mejorará la seguridad general de la Web, puede ser un proyecto complejo y desafiante para algunas aplicaciones web. . . Como resultado, muchas aplicaciones web seguirán siendo vulnerables mientras se implementa el HTTPS en todo el sitio, un proceso que probablemente lleve varios años.

...

Al confiar en una construcción criptográfica bien conocida, como las cadenas de hash, OTC crea tokens de autenticación desechables que no se pueden reutilizar, lo que proporciona una integridad de sesión más robusta. . . La OTC es considerablemente más eficiente que HTTPS y tiene aproximadamente el mismo rendimiento que los mecanismos actuales basados ​​en cookies.

Es una lectura muy interesante. Espero que eso ayude a alguien de alguna manera,

~ gMale

Me pregunté si hay una encuesta o informe del estado actual del cumplimiento del navegador con las tres especificaciones de la Cookie: el borrador original de Netscape , el RFC 2109 y el RFC 2965 que obsoleta el RFC 2109.

Sé que, debido a su edad, el borrador de Netscape será compatible con la mayoría de los clientes. Pero algunos recomiendan no usarlo más, por ejemplo, este tutorial sobre HttpClient de Apache :

Borrador de Netscape: esta especificación se ajusta a la especificación del borrador original publicada por Netscape Communications. Debe evitarse a menos que sea absolutamente necesario para la compatibilidad con el código heredado.

Entonces, ¿qué pasa con la otra especificación? ¿Están listos para ser utilizados todavía?



La encuesta más reciente parece ser la que escribió Ka-Ping Yee en 2002 , que se considera antigua en la evolución de WWW / Internet. La ventaja es que examinó 12 navegadores en 3 sistemas operativos, lo que puede dar una idea clara de cómo adaptaron la administración de cookies.

Yee, Ka-Ping, " Una encuesta sobre la funcionalidad de administración de cookies y la usabilidad en navegadores web ", http://zesty.ca/2002/priv/cookie-survey.pdf , 2002.

Otro artículo más reciente, aunque menos relevante, está escrito por Yue, Xie y Wang en 2009 (publicado en 2010). Llevó a cabo un estudio a gran escala sobre la administración de cookies HTTP con más de 5000 sitios web, utilizando un sistema que puede validar automáticamente la utilidad de las cookies de un sitio web y establecer el permiso de uso de cookies en nombre de los usuarios.

Chuan Yue, Mengjun Xie y Haining Wang, " Un sistema automático de administración de cookies HTTP ", en Journal of Computer Networks (COMNET), 54 (13) pp. 2182--2198, 2010.