开发人员工具能否设置httponly cookies =安全问题?

时间:2012-06-30 11:15:37

标签: cookies firebug security

最近我注意到可以通过Firebug更改设置为httponly的cookie的值。根据我的阅读,httponly标志应该阻止任何类型的客户端脚本在supporting browsers中访问或更改此类cookie的值。但是,如果您创建一个cookie为httponly,然后使用Firebug 1.10 Beta和新的Cookies面板,您实际上可以更改此cookie的值。这意味着任何拦截请求或设法将间谍软件发送到反馈cookie /网站信息的用户计算机的人都可以通过更改任何与会话相关的cookie来匹配原始用户的cookie,从而访问以用户身份登录的站点。 / p>

几小时前我试图在Firebug Google group上提出这个问题,但目前尚未被允许。有没有其他人认为这是Firebug中的一个主要安全漏洞?它可能也存在于Chrome或IE开发工具中,但我还没有检查过。

1 个答案:

答案 0 :(得分:2)

不,我不认为这是一个安全漏洞。

Firebug与Firefox UI的其余部分一样,运行的权限高于站点javascript代码。因此,它可以访问cookie。

此外,安装间谍软件或能够拦截请求的人已经赢了。这样的标志不会保护您免受Man-In-The-Middle (MITM)攻击或浏览器外部间谍软件(可能只是读取浏览器的目录)。

使用https可以缓解MITM的影响。