Comments on: Segurança de Cookies de sessão e HTTPOnly http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/ BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer Wed, 05 Oct 2011 13:05:28 +0000 hourly 1 By: Elias Wagner http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/comment-page-1/#comment-667 Elias Wagner Thu, 30 Apr 2009 21:12:29 +0000 http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/#comment-667 Oi Zucco, vou responder sua pergunta com essa thread: http://groups.google.com/group/ietf-httponly-wg/browse_thread/thread/d2c5e757bba5411b?pli=1 Pois eu desconheço qualquer bug com o HTTPOnly, o que acontece são os "Bypass". Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('667','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('667','Elias Wagner','Oi Zucco,\n\nvou responder sua pergunta com essa thread: http:\/\/groups.google.com\/group\/ietf-httponly-wg\/browse_thread\/thread\/d2c5e757bba5411b?pli=1\n\nPois eu desconheço qualquer bug com o HTTPOnly, o que acontece são os \"Bypass\".\n\nAbs.'); return false;">Quote</a></div> Oi Zucco,

vou responder sua pergunta com essa thread: http://groups.google.com/group/ietf-httponly-wg/browse_thread/thread/d2c5e757bba5411b?pli=1

Pois eu desconheço qualquer bug com o HTTPOnly, o que acontece são os “Bypass”.

Abs.

ReplyQuote
]]> By: Segurança de Cookies de sessão e HTTPOnly - Wagner Elias - Think Security First « DevEzine http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/comment-page-1/#comment-659 Segurança de Cookies de sessão e HTTPOnly - Wagner Elias - Think Security First « DevEzine Thu, 23 Apr 2009 01:20:46 +0000 http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/#comment-659 [...] Original post: Segurança de Cookies de sessão e HTTPOnly - Wagner Elias - Think Security First [...]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('659','Segurança de Cookies de sessão e HTTPOnly - Wagner Elias - Think Security First « DevEzine'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('659','Segurança de Cookies de sessão e HTTPOnly - Wagner Elias - Think Security First « DevEzine','[...] Original post: Segurança de Cookies de sessão e HTTPOnly - Wagner Elias - Think Security First [...]'); return false;">Quote</a></div> [...] Original post: Segurança de Cookies de sessão e HTTPOnly – Wagner Elias – Think Security First [...]
ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/comment-page-1/#comment-658 Elias Wagner Wed, 22 Apr 2009 20:38:15 +0000 http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/#comment-658 Luan, estamos falando de coisas distintas, o HTTPOnly vai tratar o roubo de cookies via JS, não é um controle contra tampering de dados. E se for sniffar os dados, você precisa esta na rede onde o cliente acessa o site certo? Se eu for sniffar a rede e a aplicação não usar SSL eu pego a senha e acesso. Obrigado pela visita e pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('658','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('658','Elias Wagner','Luan,\n\nestamos falando de coisas distintas, o HTTPOnly vai tratar o roubo de cookies via JS, não é um controle contra tampering de dados. \n\nE se for sniffar os dados, você precisa esta na rede onde o cliente acessa o site certo? Se eu for sniffar a rede e a aplicação não usar SSL eu pego a senha e acesso.\n\nObrigado pela visita e pelo comentário.'); return false;">Quote</a></div> Luan,

estamos falando de coisas distintas, o HTTPOnly vai tratar o roubo de cookies via JS, não é um controle contra tampering de dados.

E se for sniffar os dados, você precisa esta na rede onde o cliente acessa o site certo? Se eu for sniffar a rede e a aplicação não usar SSL eu pego a senha e acesso.

Obrigado pela visita e pelo comentário.

ReplyQuote
]]> By: Luan Almeida http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/comment-page-1/#comment-657 Luan Almeida Wed, 22 Apr 2009 20:27:42 +0000 http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/#comment-657 Usando um sniffer ou até mesmo um navegador desatualizado dá para pegar os dados de toda forma. O melhor mesmo é encriptar os dados dos cookies de forma que só a aplicação do lado do servidor entenda.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('657','Luan Almeida'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('657','Luan Almeida','Usando um sniffer ou até mesmo um navegador desatualizado dá para pegar os dados de toda forma.\r\nO melhor mesmo é encriptar os dados dos cookies de forma que só a aplicação do lado do servidor entenda.'); return false;">Quote</a></div> Usando um sniffer ou até mesmo um navegador desatualizado dá para pegar os dados de toda forma.
O melhor mesmo é encriptar os dados dos cookies de forma que só a aplicação do lado do servidor entenda.
ReplyQuote
]]> By: Aumentando a segurança de cookies de sessão http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/comment-page-1/#comment-656 Aumentando a segurança de cookies de sessão Wed, 22 Apr 2009 20:00:10 +0000 http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/#comment-656 [...] por Wagner Elias (weliasΘconviso·com·br) - referência [...]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('656','Aumentando a segurança de cookies de sessão'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('656','Aumentando a segurança de cookies de sessão','[...] por Wagner Elias (weliasΘconviso·com·br) - referência [...]'); return false;">Quote</a></div> [...] por Wagner Elias (weliasΘconviso·com·br) – referência [...]
ReplyQuote
]]> By: Norman http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/comment-page-1/#comment-654 Norman Wed, 22 Apr 2009 14:42:33 +0000 http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/#comment-654 Muito bom o post, sendo hand-on é bem melhor, eu pensava que tinha desistido do blog;-). Dando uma olhada no site do virtualtesting e vizualizei um curso de web hacking a distância, gostaria que postasse mais informações sobre esse curso!! Quando começa,metodologia, se pode ser parcelado por boleto(cardless)...etc!!<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('654','Norman'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('654','Norman','Muito bom o post, sendo hand-on é bem melhor, eu pensava que tinha desistido do blog;-).\r\n\r\nDando uma olhada no site do virtualtesting e vizualizei um curso de web hacking a distância, gostaria que postasse mais informações sobre esse curso!! Quando começa,metodologia, se pode ser parcelado por boleto(cardless)...etc!!'); return false;">Quote</a></div> Muito bom o post, sendo hand-on é bem melhor, eu pensava que tinha desistido do blog;-).

Dando uma olhada no site do virtualtesting e vizualizei um curso de web hacking a distância, gostaria que postasse mais informações sobre esse curso!! Quando começa,metodologia, se pode ser parcelado por boleto(cardless)…etc!!

ReplyQuote
]]> By: Jeronimo Zucco http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/comment-page-1/#comment-653 Jeronimo Zucco Wed, 22 Apr 2009 11:48:11 +0000 http://wagnerelias.com/2009/04/21/seguranca-de-cookies-de-sessao-e-httponly/#comment-653 Não conhecia sobre o HTTPOnly. Pelo que pesquisei, essa feature na verdade não está prevista na RFC 2109, ela foi criada pela Microsoft para o IE e o Firefox e Opera já a suportam nas suas últimas versões. Isso não pode dar problema em outros browsers? Será que vão incluir o HTTPOnly numa nova versão da RFC ?<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('653','Jeronimo Zucco'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('653','Jeronimo Zucco','Não conhecia sobre o HTTPOnly. Pelo que pesquisei, essa feature na verdade não está prevista na RFC 2109, ela foi criada pela Microsoft para o IE e o Firefox e Opera já a suportam nas suas últimas versões. Isso não pode dar problema em outros browsers? Será que vão incluir o HTTPOnly numa nova versão da RFC ?'); return false;">Quote</a></div> Não conhecia sobre o HTTPOnly. Pelo que pesquisei, essa feature na verdade não está prevista na RFC 2109, ela foi criada pela Microsoft para o IE e o Firefox e Opera já a suportam nas suas últimas versões. Isso não pode dar problema em outros browsers? Será que vão incluir o HTTPOnly numa nova versão da RFC ?
ReplyQuote
]]>