IETF pracuje nad nowymi ciasteczkami

Grupa robocza IETF pracująca nad stanowym HTTP (http-state) opublikowała kolejny szkic z serii draft-ietf-httpstate-cookie.

Dokument nie zawiera rewolucyjnych zmian. Zbiera i konsoliduje wcześniejsze standardy, w tym także techniki stosowane ale nie ustandardyzowane. Z punktu widzenia bezpieczeństwa interesujące jest pojawienie się w nim rozszerzenia httpOnly. Ponadto znacznie rozszerzone i usystematyzowane zostały sekcje opisujące formaty danych i związek cookies z polityką "same origin" w przeglądarkach.

Obszerna sekcja poświęcona została bezpieczeństwu zarządzania sesjami aplikacji webowych przy pomocy zmiennych przechowywanych w cookies (w tym także technikom takim jak ViewState).

Interesujące podsumowanie istniejących technik logowania do aplikacji webowych, przechowywania sesji i wylogowywania z nich można znaleźć także w dokumencie Weaning the Web off of Session Cookies.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.