Categories
Menéame Seguridad Web XSS

Menéame y las cookies HttpOnly

Este último fin de semana finalmente fue incluido un parche para que la cookie donde se almacena las credenciales del usuario, sea marcada con la propiedad HttpOnly

Se hizo esta sugerencia gracias a un bug (XSS) -sobre el que comentaré dentro de unos días- que afectaba principalmente a todas las versiones de Internet Explorer, funcionaba porque este navegador hace posible la ejecución de javascript desde CSS.

Si bien es cierto que esta nueva característica incluida en menéame no evita del todo el robo de cookies, por lo menos limitará un poco más el número de vectores de ataques XSS.