Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Vít Šesták - Zapomněl jsem místo „TODO“ hodit screenshot: https://photos.app.goo.gl/t1ic1MRfQHZStJxv5 Myslím, že...

Zapomněl jsem místo „TODO“ hodit screenshot: https://photos.app.goo.gl/t1ic1MRfQHZStJxv5

Myslím, že není problém si představit další iteraci, kdy to generování hesla bude mít ještě více v popředí a na psaní vlastního textu bude potřeba vynaložit větší úsilí…

Jo, a nereagoval jsem na to XSS. V rámci XSS můžete dělat prakticky libovolné requesty na aktuální doménu, a pošlou se s tím všechny cookies., včetně těch httponly. Potom vidíte obsah, který můžete někam odeslat. Exfiltrace není problém, lze použít například websockets, CORS nebo různé workaroundy s kódováním dat do URL obrázku*. A nebo lze kompletně změnit obsah stránky a chtít třeba jméno a heslo, uživatel se ochotně znovu přihlásí, a heslo lze odelat útočníkovi. Těžko tomu bránit, protože útočník zde jen využívá toho, co legitimní stránka celkem běžně potřebuje. Takže httponly je fakt spíše takový drobek, který teda zapnu, když už to jde, ale nemám od něj prakticky žádná očekávání.

A není mi jasné, jak to souvisí s tématem. Přihlašování lze řešit separátně od udržování přihlášeného stavu v nějaké session. Je to i žádoucí, třeba kvůli rate limits.

*) Tyto workaroundy jsou dnes celkem zbytečné, spíše ukazují, že i kdybychom se zbavili CORS a websockets, nepomůžeme si, protože možnosti tu budou stále.