![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Отдел безопасности озаботился патченьем Апача на предмет затыкания уязвимости, связанной с получением из скриптов HTTPOnly-кук..
Если кто не в курсе, вкратце: куки, помеченные флагом HTTPOnly, должны обрабатываться только самим браузером, а клиентским скриптам они недоступны. Соответственно, даже при наличии XSS-уязвимостей зловредные скрипты не смогут получить доступ к пользовательским кукам и передать их налево. Но это в теории. А на практике сильно вумные хакеры придумали некоторые способы обхода этой защиты.
Ну и, типа, пока веб-серверы подвержены этой уязвимости, сертификацию на PCI DSS не пройти. Надо срочно патчить. Пропатчили. Проверили. Автоматизированный тест сказал, что усё в порядке, уязвимость не обнаружена.
А на четвёртый день индеец Зоркий Глаз обнаружил, что… на самом деле, флаг HTTPOnly на этих серверах не используется. От слова “совсем”. Так что зловредным скриптам, буде таковые найдутся, никакую защиту и обходить не придётся, все куки сводобно доступны через document.cookie. И чтобы это изменить, править надо уже не Апач, а приложения. Все… Но на сертификацию это уже не влияет, вот эта конкретная уязвимость не обнаружена — значит, всё в порядке!
Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.