httpOnly, más seguridad con Firefox 2.0.0.5

Sacha Fuentes 19 julio 2007 4 comentarios

Mozilla Firefox 2.0.0.5 vio la luz hace poco, solucionando diversos problemas de seguridad y algún que otro bug. Pero de lo que no se ha hablado mucho es de una nueva característica que se ha implementado: httpOnly, que permitirá incrementar la seguridad de los usuarios en lo relativo a las cookies.

Recapitulemos un poco. Las cookies son pequeños fragmentos de texto que los servidores envían a los navegadores y que estos almacenan para devolvérselos posteriormente. Esto permite mantener la sesión en una aplicación web. Por ejemplo, en un lector de correo nos autenticamos al principio de la sesión y el servidor nos envía una cookie que nos identificará sin necesidad de volver a introducir el usuario y la contraseña.


El problema es que estas cookies son accesibles no solo desde el navegador, sino también por la propia página, mediante código Javascript. Esto crea problemas de seguridad ya que se puede ejecutar código que envíe nuestra cookie a algún atacante, mediante el envío de enlaces malintencionados.

En esta última versión de Firefox se implementa el soporte de httpOnly, de forma que el servidor indica que una cierta cookie no debe ser usada desde Javascript, sino solo servir para identificar al usuario desde el navegador.

Podemos probar el funcionamiento de esta opción en httpOnly. Si accedemos a ella con Firefox 2.0.0.5 nos mostrará un pop-up vacio, mientras que si lo hacemos con cualquier otro navegador nos mostrará la cookie que se ha recibido, que es hidden=value.

El soporte para esta funcionalidad debe venir también desde el lado del servidor, que deberá marcar como httpOnly todas aquellas cookies que sea necesario, además de que el resto de navegadores deberían implementar también esto para hacerlo totalmente estándar y mejorar la seguridad de todos los usuarios.

Vía | Alex’s corner.

trackback
¿Recomendarías este post? lo recomiendo no lo recomiendo
Más noticias sobre: Seguridad, Navegadores
Tags: , ,

Comentarios

Deja tu comentario
  • 1 Imagen de www.gravatar.com
    demonh3x
    Marca como spam

    Yo uso un addon para firefox llamado "NoScript" que en vez de bloquear las cookies, bloquea el codigo javascript y otros plugins en todos los sitios menos en los que se permita, cosa que, personalmente, adoro.

    Este addon tiene el mismo efecto en el popup de muestra "httpOnly"; lo muestra en blanco (vacio).

    Cierto que puede llegar a molestar cuando entras en cierto sitio web y las cosas no funcionan como deberian… :S, pero se arregla con un simple "permitir"

    19 jul 2007 13:28:13 Permlink
    normal Comentario interesante Comentario flojo
  • 2 Imagen de www.gravatar.com
    Zzelp
    Marca como spam

    Pero el NoScript es un poco incomodo, muchas veces si quieres ver bien o ver, directamente, una web tienes que decirle que permites el uso de javascript. Un poco royo, si sabeis como configurarlo decirlo xfa.

    19 jul 2007 13:42:22 Permlink
    normal Comentario interesante Comentario flojo
  • 3 Imagen de www.gravatar.com
    Pablo RaveN
    Marca como spam

    Ahora entiendo porque se borraron todas las cookies al instalar el nuevo firefox :P

    19 jul 2007 14:03:37 Permlink
    normal Comentario interesante Comentario flojo
  • 4 Imagen de www.gravatar.com
    cards | 5 estrellas
    Marca como spam

    Pues yo uso la extension "controle de scripts" que permite configurar javascript eligiendo que le permites o prohives hacer
    Asi no hace falta activarlo o desactivarlo completamente.
    Anda que no es coñazo la extension NoScript… y mas ahora, que con la moda de Ajax la mayoria de webs necesitan javascript

    19 jul 2007 22:05:48 Permlink
    normal Comentario interesante Comentario flojo

Destacado

Especial Firefox 3

Top 10

Lo+leído

  1. Windows Live Messenger 9 ya se puede descargar
  2. Wave 3: Las novedades de Windows Live Hotmail al descubierto
  3. Seguridad en portátiles: introducción
  4. Bittorrent VS Emule VS Descarga Directa
  5. Seguridad en portátiles: Windows
  6. Internet Explorer 8 Beta 2, mejorando lo presente
  7. Ubiquity, el Quicksilver para Firefox de Mozilla
  8. Bittorrent VS Emule VS Descarga Directa, conclusiones
  9. Mozilla se cansa de esperar a IE... ¡y se pone a desarrollarlo ella misma!
  10. Microsoft Photosynth, lo hemos probado

Lo+votado

Lo+leído

  1. Windows Live Messenger 9 ya se puede descargar
  2. Wave 3: Las novedades de Windows Live Hotmail al descubierto
  3. Truco: Usa lenguaje natural en las búsquedas de Windows Vista
  4. Bittorrent VS Emule VS Descarga Directa, segundo round
  5. Bittorrent VS Emule VS Descarga Directa
  6. Mozilla se cansa de esperar a IE... ¡y se pone a desarrollarlo ella misma!
  7. Bittorrent VS Emule VS Descarga Directa, conclusiones
  8. Opera 9.52 resuelve problemas de seguridad y más
  9. Bittorrent VS Emule VS Descarga Directa, tercer round
  10. Imagen de la Semana: Windows 7 esta cada día más cerca

Lo+comentado

  1. Mozilla se cansa de esperar a IE... ¡y se pone a desarrollarlo ella misma!
  2. Bittorrent VS Emule VS Descarga Directa
  3. Microsoft actualiza WGA en Windows XP, se acabó el chollo
  4. Imagen de la Semana: Windows 7 esta cada día más cerca
  5. Windows Live Messenger 9 ya se puede descargar
  6. Microsoft lanza un mensaje desafiante en Photosynth
  7. Bittorrent VS Emule VS Descarga Directa, conclusiones
  8. Mozilla propondrá actualizarse de Firefox 2 a Firefox 3
  9. Desktops, escritorios virtuales en Windows
  10. Opera 9.60 ya se puede probar

Autores / Comentaristas

Autores

Comentaristas

  1. Gonzalo FP 5 estrellas
  2. [DoodoM] 5 estrellas
  3. jose 5 estrellas
  4. kiwi13 5 estrellas
  5. Lord Darkness 5 estrellas
  6. Rub 5 estrellas
  7. Capullo 5 estrellas
  8. Fransexy 5 estrellas
  9. darkomen 5 estrellas
  10. Hijo del Opio 5 estrellas

Suscríbete