Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/07/2013
Galetes en aplicacions web: disseny i vulnerabilitats
Un dels problemes a l’hora de gestionar la seguretat sobre una aplicació web és comprovar la identitat de l’usuari. La implementació de sessions permet assegurar que les operacions són realitzades per la persona autoritzada. No obstant això, hi ha riscos que són importants conéixer i analitzar sobre estos mecanismes.
Generalment, quan un usuari utilitza una aplicació web que requerisca registrar-se, utilitza algun mecanisme de validació per a comprovar-ne la identitat. El mètode més comú és la sol·licitud de credencials (usuari i contrasenya). No obstant això, per a cada pàgina dins de l’aplicació és necessari comprovar novament la identitat de l’usuari. En eixa situació l’usuari necessitaria reingressar les seues credencials cada vegada que realitze una operació sobre l’aplicació web en qüestió. És ací on sorgix la necessitat d’utilitzar sessions.
Com s’implementen les sessions?
Hi ha diversos mecanismes a l’hora d’implementar el maneig de sessions en una aplicació web. Comunament s’implementen per mitjà de la utilització de testimonis. Un testimoni permet identificar un usuari de manera unívoca dins de l’aplicació web. Per a portar açò a un àmbit pràctic, generalment s’utilitzen el que es coneix com a galletes. Per tant, quan un usuari inicia sessió sobre una aplicació web, establix una galleta que posteriorment s’utilitza per a comprovar-ne la identitat.
Les galletes HTTP són les més utilitzades per les aplicacions web. La comunicació entre el servidor i el client es realitza per mitjà de peticions HTTP. D’esta manera, en cada activitat sobre l’aplicació web, el client envia el seu testimoni corresponent i el servidor comprova que es tracte d’aquell que es va establir durant l’inici de sessió. Segons com resulte la comprovació, s’autoritza o se'n denega l’accés. A continuació, pot observar-se una captura de com s’establix una galleta:
Llegiu l'article complet en ESET Llatinoamèrica.