anayet

HttpOnly Cookies es una ampliación del estándar de gestión de cookies que se utiliza para prevenir el robo de cookies a través de ataques de tipo XSS (Cross Site Scripting). Fué propuesto e implementado inicialmente por Microsoft en Internet Explorer 6 (Año 2002). Aunque al principio no tuvo mucha aceptación, este último año ya lo han ido implementando otros navegadores como Opera 9.5 o Firefox 3.

Al definir una cookie como HttpOnly, lo que estamos haciendo es eliminar la posibilidad de que ésta pueda ser leida por el navegador a través de JavaScript. Es decir, los navegadores que soportan este estándar, gestionan las cookies de igual manera, solo que ocultan parte de los datos de variable document.cookie de JavaScript, lo que impide el robo de las cookies de sesión a través de ataques de tipo XSS.

Ejemplo de definición en una cabecera Http:

Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly

Me ha parecido una idea bastante buena que se debería adoptar como norma general para definir cookies, ya que, si nunca necesitamos acceder a ellas desde JavaScript, ¿por qué permitimos su acceso?. Si bien, las implicaciones de un ataque de tipo XSS son mucho mayores que el robo de cookies, nunca estará de más añadir esta limitación.

Hay un caso en el que la lectura de cookies a través de JavaScript sí que se suele utilizar bastante. Se utiliza para evitar otro tipo de ataque de tipo XSS, el CSRF (Cross Site Request Forgery). Se trata de enviar por duplicado la cookie de sesión en el envío de formularios (double cookie submission), la enviada automáticamente por http y otra a través de un campo input de tipo hidden. De esta forma desde el servidor se puede verificar que el formulario no ha sido enviado desde un sitio externo al que el usuario está navegando.  Para este caso, no sería totalmente necesario leer la cookie, se puede utilizar un token de sesión gestionado desde el servidor para el envío del formulario.

Hay que destacar también que en estos momentos esta opción está todavía un poco verde, ya que tanto Firefox 3.01 como Internet Explorer 7 tienen un bug que permite la lectura de las cookies marcadas como HttpOnly a través de la consulta de las cabeceras de una petición XHR (XMLHttpRequest). En cualquier caso, creo que es una opción bastante interesante que hay que seguir y empezar a implementar.

Más información:
OWASP: HTTPOnly
Microsoft: Mitigating Cross-site Scripting With HTTP-only Cookies
Bug Mozilla: XMLHttpRequest allows reading HTTPOnly cookies

Lugar de partida: Localidad de Lanuza, Valle de Tena (Huesca).
Recorrido: Subida al mirador a través del Barranco de Rutaviesas y bajada a través del Barranco de Suscalar.
Duración: 2 horas de subida + 1 hora y media de bajada.
Tipo: Senda PR (marcas amarillas y blancas).
Desnivel: Fuerte, 625m.

Comenzamos la excursión desde la localidad de Lanuza. Caminamos por la carretera en dirección a la presa. A los pocos metros encontraremos marcado el camino que sube hacia el mirador (Plana por el Frondón). La primera parte de la subida se realiza a través de un bosque bastante denso a través de la zona del Frondón. Aunque la vegetación es espesa, la senda es bastante amplia y está muy bien marcada (PR). Poco a poco iremos ganando altura haciendo zig-zag hasta dejar atrás el bosque y entrar en una zona de praderas.Seguimos el camino marcado hasta llegar a la antena del repetidor. Unos 200 metros más abajo encontraremos el mirador.

El Frondón

Presa de Lanuza, conforme vamos ganando altura vamos viendo el Valle de Tena desde distintas perspectivas

Sallent de Gállego y Peña Foratata

Vistas desde el mirador de Sierra. Tres fotografias tomadas de izquierda a derecha:

1.-Zona del pantano de Búbal. Abajo a la derecha la localidad de Escarrilla

2.- Panorámica desde Peña Telera hasta la Pala de Ip

3.- Zona de Sallent de Gállego y Formigal

Para volver a Lanuza a través del barranco de Suscalar hay que retroceder hasta el repetidor de televisión. A unos pocos metros encontraremos la señal y el camino marcado. Atravesaremos primero el barranco de Portet, para luego trás una pequeña subida seguir bajando a través de el de Suscalar. La bajada es también de fuerte desnivel con camino muy bien marcado. Al contrario que en la subida no se atraviesa el bosque, por lo que las zonas de sombra son escasas.

Fotografía desde el Barranco de Portet, en primer plano el Frondón, en segundo plano el Pacino y en tercer plano Punta Escarra

Barranco de el Portet

Localidad de Lanuza

Llegan las vacaciones y con ellas la hora de dejar por unos días el asfalto e intentar reencontrarse con esos lugares donde muere la carretera. [Canción de Ángel Petisme. Rodada en el Café Cantante "El Plata" - Zaragoza]

Como punto y aparte, una fotografía que tomé el año pasado en el Valle de Tena.