Cookies non sécurisées en raison de l'équilibreur de charge

Question

J'ai un équilibreur de charge qui termine les demandes HTTPS à HTTP et donc mes serveurs de backend les voient comme http. En conséquence, tous mes cookies sont définis sans un drapeau sécurisé lorsque vous visualisez des cookies sur la version HTTPS de ce site. Est-ce que cela compte de toute façon depuis que nous mélangions http et https? Amazon.com et plusieurs autres grands sites de commerce électronique semblent également avoir des cookies non sécurisés sur HTTPS.

Thomas Pornin · Accepted Answer

Un cookie a le drapeau "sécurisé" s'il le dit. Théoriquement, rien n'empêche un cookie "sécurisé" d'être servi par un serveur HTTP (non-HTTPS); Mais votre logiciel de serveur peut prendre problème, car, à partir de son point de vue, le protocole est HTTP et un cookie sécurisé n'a peu de sens si elle transit sur HTTP. Votre serveur ne sait pas qu'il est derrière une passerelle HTTPS-TO-HTTP. D'autre part, le client voit une connexion HTTPS et l'obtention d'un cookie sécurisé par une telle connexion ne surprendra pas du tout.

Le problème avec un cookie non sécurisé est que le client l'envoiera volontiers à n'importe quel serveur qui ressemble à un serveur d'origine. En présence d'un attaquant actif, vous devez supposer que tout biscuit non sécurisé pourrait être détourné par l'attaquant. En fonction de votre situation exacte, cela peut être une menace majeure, mineure ou inexistante.

Hendrik Brummermann · Answer

Le drapeau sécurisé des cookies de session est important, car le cookie est envoyé sur http sinon. Un attaquant peut être capable de tromper la victime dans l'ouverture d'une connexion HTTP, même si vous pointez tous les liens et les ressources vers HTTPS.

Normalement, cela fonctionne pour régler le drapeau sécurisé sur le serveur d'applications. Le voleur d'albacancier vient d'envoyer la réponse à l'intérieur de la connexion HTTPS et tout va bien pour le client. Le problème principal consiste à indiquer à l'équilibreur de chargement d'inclure le cookie dans sa connexion HTTP au serveur d'applications. Cela dépend de la mise en œuvre concrète de l'équilibreur de charge, que ce soit automatiquement, ou nécessite une certaine configuration.

D.W. · Answer

Oui, ça compte. Si le drapeau sécurisé n'est pas défini sur ces cookies, vous êtes vulnérable aux attaques de type FireSeep, ce qui est mauvais et pourrait avoir une incidence négative sur les utilisateurs (par exemple, en particulier les utilisateurs qui se connectent sur une connexion sans fil ouverte). Par conséquent, je vous recommande de vous assurer que le drapeau sécurisé est défini sur ces cookies.

Mark Davidson · Answer

De - Wikipedia

Un cookie sécurisé n'est utilisé que lorsqu'un navigateur visitez un serveur via HTTPS, qui veillera à ce que le cookie soit toujours crypté lorsque vous transmettez du client au serveur, et donc moins susceptibles d'être exposés au vol de cookies via l'écoute.

Donc, la réponse est vraiment préoccupée par le contenu de ces cookies envoyés sur http ou que les données sont sensibles aux données et doivent toujours être envoyées via HTTPS.