Zpět
06.11.2010 HTTP cookies, aneb jak nenavrhovat protokoly
Objevil se zajímavý článek pojednávající o bezpečnosti a historickém vývoji technologie zvané HTTP cookies. Cookies jsou totiž od nepaměti značně kontroverzním tématem. Mimo jiné se v článku dočtete, že díky zmatenému vývoji, kdy několik navzájem nezávislých společností vydávalo své vlastní specifikace této techniky se svými vlastními vylepšeními jsme dnes v situaci kdy neexistuje žádný přesný popis chování cookies. Článek dále poukazuje například na problém týkající se omezení maximální velikosti hlavičky žádostí posílaných na server. Například pro servery využívající Apache je tato velikost nastavena na 8 kB, což sice velkému množství požadavků vyhovuje, pokud ale k takové žádosti připojíme několik cookies daného webu, není problém tento limit překročit. To sice na první pohled nepředstavuje velké bezpečnostní riziko, ale nabízí se například scénář kdy útočník uloží do prohlížeče oběti několik cookies vázaných na daný server (a překračujících tento limit) a tím mu zabrání dále používat nějaký web. Článek se také například zabývá nedokonalostmi v implementaci cookies do protokolu HTTPS. Jako příklad za všechny lze uvést, že stránky, které samy nepoužívají šifrování mohou bez problémů nastavit cookie určené pro šifrované stránky. Zbytek tohoto obsáhlého článku v originálním znění najdete zde.-jbl-
AKTUÁLNÍ ZPRÁVY:
06.05.2012 Mac OS X Lion může ukládat nezašifrovaná hesla
05.05.2012 Aktualizace pro vmWare ESX 4.1
03.05.2012 Jaká data o svých uživatelích ukládá Twitter
20.04.2012 Falešný Instagram, Trojský kůň pro Android
11.04.2012 Kritická zraniteľnosť v Samba
03.04.2012 Nová varianta Flashbacku využívá chybu Javy
13.03.2012 Zraniteľnosť v CMS a S/MIME (openssl)
07.03.2012 Jak FBI zatkla 19-letého hackera, který zveřejnil odposlech jejich telefonátů
17.02.2012 Adobe Flash Player, několik zranitelností
12.02.2012 Zranitelnost v aplikaci Google Wallet na smartphonech
