SecurityVibes UK rappelle l’importance d’une bonne configuration du support des cookies dans les applications web, sous peine de voir l’authentification SSL contournée via un très traditionnel vol de session.

L’attaque décrite par notre confrère britannique est susceptible d’avoir lieu lorsque un utilisateur est amené à faire des allers et retours entre des pages sous SSL et d’autres non protégées. Le cookie de la session SSL continuera alors parfois de circuler en clair au retour dans la zone non protégée du site, et il pourra donc être intercepté et réutilisé.

Trois étapes pour éviter un tel désagrément :

Marquer les cookies des sessions SSL comme étants « sécurisés » (ils ne seront alors pas envoyés sur une connexion en clair)

Interdire les sessions concomitantes pour un même utilisateur

Détruire correctement la session au départ de l’utilisateur

L’article complet peut être lu sur SecurityVibes UK.