Я разрабатываю приложение, которое я буду размещать на Heroku. Приложение используется только в пределах iframe
на другом сайте, поэтому меня не интересует доменное имя. Я планирую развернуть свое приложение на example.herokuapp.com
вместо того, чтобы использовать собственный домен на example.com
.Безопасны ли файлы cookie в приложении Heroku на сайте herokuapp.com?
Мое приложение использует файлы cookie, и я хочу быть уверенным, что другие не могут манипулировать моими кукисами, чтобы защитить мое приложение от session fixation и подобных атак. Если attacker.herokuapp.com
может установить файл cookie для herokuapp.com
, браузеры не смогут защитить меня, так как herokuapp.com
не является public suffix. См. http://w2spconf.com/2011/papers/session-integrity.pdf для подробного описания проблемы.
Мой вопрос: когда браузеры не могут защитить моих пользователей, будет ли Heroku делать это, блокируя файлы cookie для herokuapp.com
?
Я не уверен, что я понимаю, что вы пытаетесь сказать. Да, если я уже сам установил cookie для example.herokuapp.com, я в безопасности, но когда я получаю запрос, содержащий куки-файл, у меня нет возможности узнать, поставил ли я его сам на example.herokuapp.com , или если он был установлен кем-то еще на herokuapp.com. Если в вашем последнем предложении означают «и» вместо «on», то cookie, установленный моим приложением, не будет представлен в голом домене herokuapp.com, но я не беспокоюсь о том, что это не файлы cookie, установленные моим приложением. –
Почему вы беспокоитесь о cookie, установленном другими сайтами? Если вы храните конфиденциальную информацию в cookie или если файлы cookie используются для хранения информации о сеансе, вы должны зашифровать и затем подписать файл cookie. Здесь вы можете прочитать подробности: https: // github.com/appharbor/AppHarbor.Web.Security – friism
Подписание и шифрование файлов cookie не предотвращает повторные атаки. Кэрол посещает мой сайт и получает сеансовое печенье. Алиса посещает сайт Кэрол, и сайт устанавливает cookie сеанса, который я дал Кэрол для домена herokuapp.com. Затем Алиса посещает мой сайт, и мой сайт будет получать cookie сессии Кэрол и будет думать, что она Кэрол. На моем сайте это будет означать, что Алиса может автоматически войти в систему с использованием учетной записи пользователя Carol, и она может ввести некоторые личные данные, не заметив, что она вошла в учетную запись Кэрол. –