16 de Octubre, 2012

»Las cookies no son para eso · Hay algunos motivos por los cuales es mala idea almacenar el número de una tarjeta de crédito en una cookie: un ataque XSS puede comprometer esos números de tarjeta de crédito, dependemos del navegador para que elimine correctamente las cookies de sesión (si no es de sesión, ¡es mucho peor!) y en realidad... porque no se puede confiar en el navegador para almacenar datos sensibles. Esto está pasando en el Santander UK, pero por lo que he visto en mi cuenta española, la cookie está ahí con el XML codificado en Base64 y firmado (no parece almacenar números de tarjeta de crédito, pero que aparentemente usen el mismo sistema no es tanquilizador).

¿La forma correcta de hacer las cosas? Se guarda un identificador, token, o como quieras llamarlo (firmado, eso es correcto), y los datos de sesión se almacenan en el servidor asociados a ese identificador.

Anotación por Juan J. Martínez, clasificada en: security.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: