HttpOnly Cookie implementati in Firefox 3

L’attributo HttpOnly dello header HTTP “Set-Cookie” serve per rendere invisibile un cookie ai linguaggi client-side come JavaScript.
Tramite questa tecnica, sviluppata da Microsoft, un browser invierà i cookie di un dominio solamente al server contattato inibendone, ad esempio, la lettura tramite il classico “document.cookie” di JavaScript.

HttpOnly Cookie è stato implementato per la prima volta in IE 6 sp1, da pochi giorni è stato integrato di default anche nella terza beta di Firefox 3.

HttpOnly è ancora una tecnologia poco utilizzata: è stata implementata ufficialmente su PHP dalla versione 5.2 Ci sono però dei workaround per utilizzarla anche sulle versioni precedenti.

Per chi volesse provare HttpOnly su Firefox 2 può usare l’estensione “httpOnly” scritta da Stefan Esser. L’estensione non segue la vera implementazione usata da Microsoft: tutti i cookie in arrivo, contrassegnati dal flag HttpOnly vengono criptati con AES tramite un hook di Firefox. Un altro hook decripta i cookie solo quando vengono inviati tramite HTTP, in questo modo i cookie ottenuti tramite JavaScript saranno inutilizzabili perché criptati.

Segnalo inoltre, che da poche ore sono stati rilasciati Firefox 2.0.3 e Firefox 1.5.0.11 che correggono alcuni bug di sicurezza venuti alla ribalta negli scorsi giorni.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento