1

最近我注意到可以通过 Firebug 更改设置为 httponly 的 cookie 的值。根据我的阅读,httponly 标志应该阻止任何类型的客户端脚本访问或更改此类 cookie 的值,以支持浏览器。但是,如果您将 cookie 创建为 httponly,然后使用带有新 Cookie 面板的 Firebug 1.10 Beta,您实际上可以更改此 cookie 的值。这意味着任何拦截请求或设法将间谍软件安装到反馈 cookie / 网站信息的用户计算机上的任何人都可以通过更改任何与会话相关的 cookie 以匹配原始用户的 cookie 来访问以用户身份登录的站点。

几个小时前,我试图在Firebug Google 组上提出这个问题,但还没有被允许。有没有其他人认为这是 Firebug 的主要安全漏洞?它也可能出现在 Chrome 或 IE 开发工具中,但我没有检查过。

4

1 回答 1

2

不,我不认为这是一个安全漏洞。

与 Firefox UI 的其余部分一样,Firebug 运行在比站点 javascript 代码更高的权限上。因此它可以访问 cookie。

此外,无论如何,安装间谍软件或能够拦截请求的人已经获胜。这样的标志不会保护您免受中间人 (MITM)攻击或浏览器外部间谍软件(可能只是读取浏览器的目录)。

使用 https 可以减轻 MITM 的影响。

于 2012-06-30T11:47:14.457 回答