sicurezza

Cookie di sessione, che c’è da sapere per la propria sicurezza informatica

L’importanza di proteggere le password è un punto ormai ben chiaro e stabilito, ma non si deve sottostimare l’importanza di proteggere adeguatamente i cookie di sessione. Vediamo perché e cosa sono gli attributi HttpOnly e Secure

21 Mar 2018
Stefano Calzavara

Dip. di Scienze Ambientali, Informatica e Statistica, Università Ca’ Foscari

internet-120221161808

Il web è ormai il punto d’accesso principale ad una vasta gamma di servizi, la maggior parte dei quali richiede autenticazione, cioè la capacità di determinare l’identità di chi effettua un determinato accesso o richiesta. Si tratti di e-banking, e-commerce o social network, un numero sempre crescente di servizi ci richiede ormai di “presentarci” tramite la sottomissione di credenziali di accesso, tipicamente nella forma di nome utente e password. Si parla molto di protezione delle password, di come sia importante scegliere sempre password lunghe ed imprevedibili, nonché di evitare il riuso della stessa password presso servizi diversi. I browser più moderni inoltre ci avvisano del pericolo di inviare la propria password su HTTP, cercando di spingere un’adozione più pervasiva di HTTPS. Tutto questo è fondamentale per garantire la sicurezza del proprio account, perché un attaccante in grado di presentare la nostra password presso un servizio online è effettivamente in grado di impersonarci presso di esso, acquisendo i nostri stessi privilegi.

L’anatomia di una sessione web

Proteggere appropriatamente la propria password è necessario per la sicurezza informatica del proprio account, ma purtroppo non è sufficiente. Per capirne il motivo, è importante osservare una caratteristica fondamentale del protocollo HTTP(S), su cui tutto il web è costruito: l’assenza di stato. Tecnicamente questo significa che due richieste HTTP(S) ricevute da uno stesso servizio appaiono sempre scorrelate tra loro, come se fossero due richieste indipendenti. Una conseguenza importante della natura stateless di HTTP(S) è che, dopo aver verificato la nostra password, i servizi online si “dimenticano” di noi, perché le richieste successive non comprendono più le nostre credenziali d’accesso. Questo problema può essere risolto implementando un’opportuna logica sul servizio online, tipicamente basata sull’utilizzo di cookie. Un cookie non è altro che un piccolo pezzo di informazione, rappresentato come una coppia chiave-valore, che può venire salvato da un servizio online all’interno del nostro browser. Il browser provvederà poi a ripresentare il cookie automaticamente in ogni richiesta HTTP(S) diretta al servizio che lo ha registrato. Se un cookie contiene abbastanza informazione per identificare un utente in maniera univoca, esso può essere utilizzato come un meccanismo di autenticazione alternativo alla password, consentendo di stabilire una sessione di richieste correlate. Più concretamente, una tipica sessione web è stabilita come segue:

WHITEPAPER
Ripensare il performance management. Quali nuovi approcci possibili? Scopri l’app Feedback4You!
Risorse Umane/Organizzazione
Smart working
  1. Un utente (chiamiamolo Alice) fornisce le proprie credenziali di accesso al servizio online nella forma di nome utente e password;
  1. Il servizio online verifica la correttezza delle credenziali ricevute, quindi genera un nuovo cookie e lo salva nel browser di Alice. Tale cookie, spesso chiamato cookie di sessione, contiene un valore casuale ed imprevedibile, che consente di identificare Alice nelle richieste successive;
  1. Il browser di Alice allega automaticamente il cookie a tutte le richieste al servizio online, che è così in grado di autenticare nuovamente Alice.

Questo paradigma è così popolare sul web che tutti i framework di sviluppo più utilizzati forniscono supporto nativo per la gestione delle sessioni. Per esempio PHP utilizza la chiave PHPSESSID per identificare il proprio cookie di sessione, mentre ASP impiega di default la chiave ASPSESSIONID.

L’importanza di proteggere i cookie e sessione

Poiché i cookie di sessione sono utilizzati come meccanismo di autenticazione, proteggerli in modo appropriato è fondamentale. Ci sono molti attacchi contro le sessioni web, di diversa complessità e pericolosità, ma il più intuitivo da capire è senza dubbio il furto di un cookie di sessione, perché un attaccante in grado di rubare un nostro cookie di sessione sarà in grado di impersonarci presso il servizio che ha registrato il cookie nel nostro browser. Questo problema è ben noto ed infatti i browser implementano meccanismi atti a garantire la confidenzialità dei cookie di sessione. La prima linea di difesa è fornita dalla Same Origin Policy (SOP), che isola in lettura e scrittura contenuti web forniti da servizi “scorrelati” fra loro. Per esempio uno script in esecuzione nell’homepage di https://www.evil.com non sarà in grado di leggere o scrivere i cookie impostati da https://www.bank.com. Purtroppo però la SOP non è sufficiente per impedire il furto dei cookie di sessione ed i web developer più accorti sono costretti ad utilizzare due ulteriori meccanismi di protezione per irrobustire le proprie sessioni: HttpOnly e Secure, due attributi assegnabili ai cookie per richiedere al browser garanzie di sicurezza aggiuntive sul loro utilizzo.

L’attributo HttpOnly

Se un cookie è marcato HttpOnly, esso diventa inaccessibile da ogni script, anche quelli cui normalmente la SOP consentirebbe l’accesso. Per esempio, neppure gli script in esecuzione in una pagina di https://www.bank.com possono leggere i cookie HttpOnly impostati da tale servizio. Questo è fondamentale per chiudere due vettori d’attacco:

  1. Script malevoli caricati da terze parti: se https://www.bank.com importa uno script da https://www.evil.com, tale script viene eseguito con gli stessi privilegi di uno script che è stato caricato direttamente da https://www.bank.com ed ottiene quindi accesso ai cookie impostati da tale servizio;
  1. Cross Site Scripting (XSS): se https://www.bank.com non sanitizza adeguatamente i propri input, un attaccante può essere in grado di iniettare contenuti arbitrari su tale servizio, che otterrebbero quindi accesso ai cookie impostati da esso. (Discutere in dettaglio gli XSS è al di là dello scopo di questo articolo.)

Visto quanto è comune importare script da terze parti, per esempio per motivi di profiling o advertisement, e la diffusione “in the wild” di vulnerabilità XSS, marcare i cookie di sessione come HttpOnly è un’ottima pratica per evitare di indebolire l’autenticazione.

L’attributo Secure

Normalmente i cookie impostati da https://www.bank.com sono allegati a tutte le richieste verso www.bank.com, indipendentemente dal fatto che tali richieste siano su HTTP oppure su HTTPS. Questo implica che un attaccante in grado di controllare il traffico di rete può rubare i cookie di sessione utilizzati dal servizio nel momento in cui il browser della vittima invia almeno una richiesta al servizio su HTTP. Si noti che un attaccante con il controllo della rete può forzare la generazione di tale richiesta HTTP anche se il servizio è implementato interamente su HTTPS, per esempio manipolando il traffico HTTP ricevuto da un altro servizio in modo da forzare un redirect verso http://www.bank.com: anche se tale servizio non fosse disponibile, il browser proverebbe a contattarlo allegando i cookie. Per ovviare a questo problema, è possibile marcare i cookie di sessione come Secure, chiedendo così al browser di allegare tali cookie solo a richieste HTTPS.

Per concludere

L’importanza di proteggere le password è un punto ormai ben chiaro e stabilito, ma non si deve sottostimare l’importanza di proteggere adeguatamente i cookie di sessione. Purtroppo uno studio del 2015 evidenzia che gli attributi HttpOnly e Secure non sono molto utilizzati “in the wild”, anche se un’analisi preliminare dei siti più popolari di Alexa sembra suggerire che la situazione stia migliorando negli ultimi anni. Il mondo delle sessioni web è complesso ed esposto ad un numero sorprendentemente elevato di attacchi, di cui il furto dei cookie di sessione rappresenta solo una sfaccettatura. Un survey del 2017 fornisce una panoramica comprensiva delle superfici d’attacco più popolari contro le sessioni web.

Riferimenti

Lo studio del 2015 è “Bugliesi, Calzavara, Focardi, Khan – CookiExt: patching the browser against session hijacking attacks”, pubblicato sul Journal of Computer Security. Il survey del 2017 è “Calzavara, Focardi, Squarcina, Tempesta – Surviving the Web: a journey into web session security”, pubblicato su ACM Computing Surveys.

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati