HTTP cookies, aneb jak nenavrhovat protokoly

Objevil se zajímavý článek pojednávající o bezpečnosti a historickém vývoji technologie zvané HTTP cookies. Cookies jsou totiž od nepaměti značně kontroverzním tématem. Mimo jiné se v článku dočtete, že díky zmatenému vývoji, kdy několik navzájem nezávislých společností vydávalo své vlastní specifikace této techniky se svými vlastními vylepšeními jsme dnes v situaci kdy neexistuje žádný přesný popis chování cookies. Článek dále poukazuje například na problém týkající se omezení maximální velikosti hlavičky žádostí posílaných na server. Například pro servery využívající Apache je tato velikost nastavena na 8 kB, což sice velkému množství požadavků vyhovuje, pokud ale k takové žádosti připojíme několik cookies daného webu, není problém tento limit překročit. To sice na první pohled nepředstavuje velké bezpečnostní riziko, ale nabízí se například scénář kdy útočník uloží do prohlížeče oběti několik cookies vázaných na daný server (a překračujících tento limit) a tím mu zabrání dále používat nějaký web. Článek se také například zabývá nedokonalostmi v implementaci cookies do protokolu HTTPS. Jako příklad za všechny lze uvést, že stránky, které samy nepoužívají šifrování mohou bez problémů nastavit cookie určené pro šifrované stránky. Zbytek tohoto obsáhlého článku v originálním znění najdete zde.