Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Vít Šesták - > Kde ten obsah vidíte? Vidíte ho na...

> Kde ten obsah vidíte? Vidíte ho na serveru, ovšem tam byste zase musel mít nějaký kód, který vám tu cookie (nebo třeba celý požadavek i s hlavičkami) pošle zpět do prohlížeče.

Ale já jako útočník nepotřebuju tu cookie. Já potřebuju přečíst nějaká data nebo vykonat nějakou akci. To pomocí XMLHttpRequest nebo Fetch API udělat mohu.

Ano, získat tu cookie by mohlo být o něco lepší, ale i toto může často stačit.

A zobrazení přihlašovací obrazovky přímo na stránce serveru, kam útočím, může být taky dost účinné.

Posílat něco odvozeného z hesla v každém požadavku a následně to ověřovat možné samozřejmě je. Řeší to session fixation, a to je asi tak vše. Neřeší to třeba CSRF (aspoň ne v podobě dnešní HTTP autentizace) a těžko se taky sleduje nové přihlášení. A taky to předpokládá, že se secret z prohlížeče dál hashuje maximálně nějakou rychlou funkcí – což nemusí nutně vždy vadit, ale je dobré s tím počítat.