Mozilla Firefox 2.0.0.5 vio la luz hace poco, solucionando diversos problemas de seguridad y algún que otro bug. Pero de lo que no se ha hablado mucho es de una nueva característica que se ha implementado: httpOnly, que permitirá incrementar la seguridad de los usuarios en lo relativo a las cookies.
Recapitulemos un poco. Las cookies son pequeños fragmentos de texto que los servidores envían a los navegadores y que estos almacenan para devolvérselos posteriormente. Esto permite mantener la sesión en una aplicación web. Por ejemplo, en un lector de correo nos autenticamos al principio de la sesión y el servidor nos envía una cookie que nos identificará sin necesidad de volver a introducir el usuario y la contraseña.
El problema es que estas cookies son accesibles no solo desde el navegador, sino también por la propia página, mediante código Javascript. Esto crea problemas de seguridad ya que se puede ejecutar código que envíe nuestra cookie a algún atacante, mediante el envío de enlaces malintencionados.
En esta última versión de Firefox se implementa el soporte de httpOnly, de forma que el servidor indica que una cierta cookie no debe ser usada desde Javascript, sino solo servir para identificar al usuario desde el navegador.
Podemos probar el funcionamiento de esta opción en httpOnly. Si accedemos a ella con Firefox 2.0.0.5 nos mostrará un pop-up vacio, mientras que si lo hacemos con cualquier otro navegador nos mostrará la cookie que se ha recibido, que es hidden=value.
El soporte para esta funcionalidad debe venir también desde el lado del servidor, que deberá marcar como httpOnly todas aquellas cookies que sea necesario, además de que el resto de navegadores deberían implementar también esto para hacerlo totalmente estándar y mejorar la seguridad de todos los usuarios.
Vía | Alex’s corner.
�
Comentarios
Yo uso un addon para firefox llamado "NoScript" que en vez de bloquear las cookies, bloquea el codigo javascript y otros plugins en todos los sitios menos en los que se permita, cosa que, personalmente, adoro.
Este addon tiene el mismo efecto en el popup de muestra "httpOnly"; lo muestra en blanco (vacio).
Cierto que puede llegar a molestar cuando entras en cierto sitio web y las cosas no funcionan como deberian… :S, pero se arregla con un simple "permitir"
Pero el NoScript es un poco incomodo, muchas veces si quieres ver bien o ver, directamente, una web tienes que decirle que permites el uso de javascript. Un poco royo, si sabeis como configurarlo decirlo xfa.
Ahora entiendo porque se borraron todas las cookies al instalar el nuevo firefox :P
Pues yo uso la extension "controle de scripts" que permite configurar javascript eligiendo que le permites o prohives hacer
Asi no hace falta activarlo o desactivarlo completamente.
Anda que no es coñazo la extension NoScript… y mas ahora, que con la moda de Ajax la mayoria de webs necesitan javascript