Я сам вижу, что это Маргарет Тэтчер, но здесь написано – Индира Ганди!

Отдел безопасности озаботился патченьем Апача на предмет затыкания уязвимости, связанной с получением из скриптов HTTPOnly-кук..

Если кто не в курсе, вкратце: куки, помеченные флагом HTTPOnly, должны обрабатываться только самим браузером, а клиентским скриптам они недоступны. Соответственно, даже при наличии XSS-уязвимостей зловредные скрипты не смогут получить доступ к пользовательским кукам и передать их налево. Но это в теории. А на практике сильно вумные хакеры придумали некоторые способы обхода этой защиты.

Ну и, типа, пока веб-серверы подвержены этой уязвимости, сертификацию на PCI DSS не пройти. Надо срочно патчить. Пропатчили. Проверили. Автоматизированный тест сказал, что усё в порядке, уязвимость не обнаружена.

А на четвёртый день индеец Зоркий Глаз обнаружил, что… на самом деле, флаг HTTPOnly на этих серверах не используется. От слова “совсем”. Так что зловредным скриптам, буде таковые найдутся, никакую защиту и обходить не придётся, все куки сводобно доступны через document.cookie. И чтобы это изменить, править надо уже не Апач, а приложения. Все… Но на сертификацию это уже не влияет, вот эта конкретная уязвимость не обнаружена — значит, всё в порядке!

This entry was posted in Uncategorized and tagged , . Bookmark the permalink.

Leave a Reply