IETF pracuje nad nowymi ciasteczkami
- Paweł Krawczyk,
- 04.03.2010, godz. 13:56
Grupa robocza IETF pracująca nad stanowym HTTP (http-state) opublikowała kolejny szkic z serii {{a:http://www.ietf.org/id/draft-ietf-httpstate-cookie-04.txt}}draft-ietf-httpstate-cookie{{/a}}.
Dokument nie zawiera rewolucyjnych zmian. Zbiera i konsoliduje wcześniejsze standardy, w tym także techniki stosowane ale nie ustandardyzowane. Z punktu widzenia bezpieczeństwa interesujące jest pojawienie się w nim rozszerzenia httpOnly. Ponadto znacznie rozszerzone i usystematyzowane zostały sekcje opisujące formaty danych i związek cookies z polityką "same origin" w przeglądarkach.
Obszerna sekcja poświęcona została bezpieczeństwu zarządzania sesjami aplikacji webowych przy pomocy zmiennych przechowywanych w cookies (w tym także technikom takim jak ViewState).
Interesujące podsumowanie istniejących technik logowania do aplikacji webowych, przechowywania sesji i wylogowywania z nich można znaleźć także w dokumencie Weaning the Web off of Session Cookies.