Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/07/2013
Cookies en aplicaciones web: diseño y vulnerabilidades
Uno de los problemas a la hora de gestionar la seguridad sobre una aplicación web es comprobar la identidad del usuario. La implementación de sesiones permite asegurar que las operaciones son realizadas por la persona autorizada. Sin embargo, existen riesgos que son importantes conocer y analizar sobre estos mecanismos.
Generalmente, cuando un usuario utiliza una aplicación web que requiera registrarse, utiliza algún mecanismo de validación para comprobar su identidad. El método más común es la solicitud de credenciales (usuario y contraseña). Sin embargo para cada página dentro de la aplicación es necesario comprobar nuevamente la identidad del usuario. En esa situación el usuario necesitaría reingresar sus credenciales cada vez que realice una operación sobre la aplicación web en cuestión. Es aquí donde surge la necesidad de utilizar sesiones.
¿Cómo se implementan las sesiones?
Existen diversos mecanismos a la hora de implementar el manejo de sesiones en una aplicación web. Comúnmente se implementan mediante la utilización de tokens. Un token permite identificar a un usuario de manera unívoca dentro de la aplicación web. Para llevar esto a un ámbito práctico, generalmente se utilizan lo que se conoce como cookies. Por lo tanto, cuando un usuario inicia sesión sobre una aplicación web, establece una cookie que posteriormente se utiliza para comprobar su identidad.
Las cookies HTTP son las más utilizadas por las aplicaciones web. La comunicación entre el servidor y el cliente se realiza mediante peticiones HTTP. De esta manera, en cada actividad sobre la aplicación web, el cliente envía su token correspondiente y el servidor comprueba de que se trate de aquél que se estableció durante el inicio de sesión. De acuerdo a como resulte la comprobación, se autoriza o se deniega el acceso. A continuación, puede observarse una captura de como se establece una cookie:
Leer artículo completo en ESET Latinoamérica.