Same origin policy ve çerezler

Web uygulamalarında cookie set ederken akılda bulundurulması gereken temel şeylerin başında scope (kapsam) meselesi gelmektedir.

Örneğin alanadi.com sayfasında oluşturulmuş bir cookie, ekstra bir özellik alanıyla belirtmezseniz. x.alanadi.com şeklindeki tüm altdomainlere yapılacak isteklere de eklenip gönderilir.

Silvrback blog image

Yine varsayılan olarak, ekstra bir kapsam bildirimi yapmazsanız; x.domain.com'da set edilmiş bir cookie, y.domain.com tarafından erişilemez. Ama cookie'yi set ederken; hiçbir şey belirtmemek yerine; domain=domain.com şeklinde kapsayıcı bir bildirim yaparsanız y.domain.com'da da bu cookie erişilebilir olacaktır.

Bu konu özellikle alt domain'lerde daha görev-kritik işler yapan siteler için önemli bir meseledir. Bir subdomain esube.domain.com şeklinde internet şube görevi yaparken diğer subdomain dokuman.domain.com ise ve bu dokuman subdomain'de bir XSS çıkmışsa, kapsam yanlış belirtildiği için (HttpOnly ile de belirtilmemişse cookie tabii ki) esube cookie'si kolayca elde edilebilir.

Bu noktada path ve domain özelliklerinin etkin kullanılması önemlidir.

Furkan ÇALIŞKAN

Read more posts by this author.