[security] I cookie HTTP sono specifici per porta?



Answers

Secondo RFC2965 3.3.1 (che potrebbe o non potrebbe essere seguito dai browser), a meno che la porta non venga esplicitamente specificata tramite il parametro port dell'intestazione Set-Cookie , i cookie potrebbero o potrebbero non essere inviati a nessuna porta.

Il Manuale sulla sicurezza del browser di Google dice: per impostazione predefinita, l'ambito dei cookie è limitato a tutti gli URL sul nome host corrente e non è associato alle informazioni sulla porta o sul protocollo. e alcune righe più avanti Non c'è modo di limitare i cookie a un solo nome DNS solo [...] allo stesso modo, non c'è modo di limitarli ad una specifica porta. (Inoltre, tieni presente che IE non considera affatto i numeri di porta nella sua politica di origine).

Quindi non sembra sicuro affidarsi a comportamenti ben definiti qui.

Question

Ho due servizi HTTP in esecuzione su una macchina. Voglio solo sapere se condividono i loro cookie o se il browser distingue tra i due socket del server.




Questa è una grande area grigia nel cookie SOP (Same Origin Policy).

In teoria, è possibile specificare il numero di porta nel dominio e il cookie non verrà condiviso. In pratica, questo non funziona con diversi browser e ti imbatterai in altri problemi. Quindi questo è possibile solo se i tuoi siti non sono per il pubblico in generale e puoi controllare quali browser utilizzare.

L'approccio migliore è quello di ottenere 2 nomi di dominio per lo stesso IP e non fare affidamento sui numeri di porta per i cookie.




In IE 8, i cookie (verificati solo rispetto a localhost) sono condivisi tra le porte. In FF 10, non lo sono.

Ho postato questa risposta in modo che i lettori abbiano almeno un'opzione concreta per testare ogni scenario.




È facoltativo

La porta può essere specificata in modo che i cookie possano essere specifici della porta. Non è necessario, il server web / applicazione deve occuparsi di questo.

Fonte: articolo tedesco di Wikipedia , RFC2109 , capitolo 4.3.1






Related