Uno de los problemas que presentamos los desarrolladores es el control de los Cookies usados en transacciones seguras.
El primer inconveniente que se presenta cuando usamos cookies bajo protocolo SSL o TSL (el conocido HTTPS cion la S al final de “secure”) es que estos cookies si no tomamos las debidas precauciones en el manejo de los mismos, persisten si el usuario deja la transacción segura para continuar visitando otras áreas de nuestro sitio, lo que convierte su contenido en interceptable.
Otro de los casos que permite revelar las cookies que pasan a través de una conexiópn segura y que además es muy común, es aquel en el que en una misma página solicitada por HTTPS, solicitamos recursos por simple HTTP, como por ejemplo una imagen en una cabecera que se usa indistintamente en páginas seguras y no seguras. En la cabecera HTTP de la solicitud de dicha imagen el servidor envía todos los cookies del dominio que hace la solicitud en los cuales por supuesto incluye aquellos que se usan para el control de sesión y otras variables de la aplicación “ya no tan segura”.
Es importante recordar que el protocolo HTTP es “stateless” o en otras palabras, no maneja estado de sesión, por lo que cada conexión se realiza como si fuera la primera. Precisamente para poder emular un estado de sesión es que las diferentes plataformas de desarrollo utilizan el concepto de un identificador de sesión (session ID), que no es más que un cookie que funciona como identificador de sesión y al cual se asocia un área de memoria en el servidor en la cual se guardan las variables de sesión.
En fin, como ya habrán podido entender, es necesario para la seguridad de la aplicación proteger los cookies, y para ello el protocolo HTTP 1.1 soporta un parámetro para cada cookie conocido como “secure flag” que al ser activado no permite que los cookies con dicho atributos sean transmitidos en conexiones HTTP simple o inseguras.
Este atributo se puede agregar por cada cookie o en general, y cada plataforma conocida lo soporta. Por ejemplo:
En PHP
Coloque en true el parámetro httponly:
setcookie( name, value, expire, path, domain, secure, httponly);
En el php.ini:
session.cookie_secure = on
En JSP /Java Server Pages:
Cookie holaCookie = new Cookie(“”,text);
holaCookie.setSecure(true);
En ASP.NET
Coloque en el web.config la siguiente línea:
<httpCookies requireSSL=”true” />
Para hacerlo de forma explícita por cada cookie:
HttpCookie cookie = new HttpCookie(“nombre”);
cookie.Secure = True;
cookie.Value = “José”;
Fuente: tecnologiasweb.blogspot.com
GRATIS – Plan de cyberseguridad para su empresa: 
Obtenga nuestro portfolio de servicios: 
Realiza su consulta cómo proteger su Negocio: 
Informe a sus colegas del area de tecnología
Comparte esta información con colegas y superiores
Guarda este post para consultas
Descargue las Tendencias de cyberseguridad: 
Suscribirse a nuestro canal de YouTube: 
Descargue nuestras infografías: 
Conozca la opinión de nuestros clientes: 
Acceda a Cursos Online de entrenamiento en seguridad informática: