httpOnly, más seguridad con Firefox 2.0.0.5

Mozilla Firefox 2.0.0.5 vio la luz hace poco, solucionando diversos problemas de seguridad y algún que otro bug. Pero de lo que no se ha hablado mucho es de una nueva característica que se ha implementado: httpOnly, que permitirá incrementar la seguridad de los usuarios en lo relativo a las cookies.

Recapitulemos un poco. Las cookies son pequeños fragmentos de texto que los servidores envían a los navegadores y que estos almacenan para devolvérselos posteriormente. Esto permite mantener la sesión en una aplicación web. Por ejemplo, en un lector de correo nos autenticamos al principio de la sesión y el servidor nos envía una cookie que nos identificará sin necesidad de volver a introducir el usuario y la contraseña.

El problema es que estas cookies son accesibles no solo desde el navegador, sino también por la propia página, mediante código Javascript. Esto crea problemas de seguridad ya que se puede ejecutar código que envíe nuestra cookie a algún atacante, mediante el envío de enlaces malintencionados.

En esta última versión de Firefox se implementa el soporte de httpOnly, de forma que el servidor indica que una cierta cookie no debe ser usada desde Javascript, sino solo servir para identificar al usuario desde el navegador.

Podemos probar el funcionamiento de esta opción en httpOnly. Si accedemos a ella con Firefox 2.0.0.5 nos mostrará un pop-up vacio, mientras que si lo hacemos con cualquier otro navegador nos mostrará la cookie que se ha recibido, que es hidden=value.

El soporte para esta funcionalidad debe venir también desde el lado del servidor, que deberá marcar como httpOnly todas aquellas cookies que sea necesario, además de que el resto de navegadores deberían implementar también esto para hacerlo totalmente estándar y mejorar la seguridad de todos los usuarios.

Vía | Alex's corner.