Ce este Secure Flag (atribut cookie)?
Atributul care forteaza transmiterea cookie-ului doar prin HTTPS
Definiție Secure Flag (atribut cookie)
Flagul Secure pe un cookie garanteaza ca acesta este transmis doar prin conexiuni HTTPS criptate, niciodata prin HTTP necriptat. Este obligatoriu pentru cookie-urile cu SameSite=None si recomandat pentru toate cookie-urile sensibile. Fara el, datele din cookie ar putea fi interceptate pe retele nesecurizate.
De ce contează Secure Flag (atribut cookie)
Cookie-urile fara flag-ul Secure sunt transmise si prin conexiuni HTTP necriptate, ceea ce permite interceptarea lor prin atacuri man-in-the-middle pe retele WiFi publice. Un atacator pe aceasi retea WiFi poate captura cookie-ul de sesiune in text clar si poate prelua contul utilizatorului instant. Firebug a demonstrat cat de trivial este acest atac inca din 2010 cu extensia Firesheep.
Cum verifici Secure Flag (atribut cookie)
SoftAudit verifica flag-ul Secure pe fiecare cookie si coreleaza cu configuratia HTTPS a site-ului. Cookie-urile de autentificare si sesiune fara Secure sunt marcate ca risc critic, chiar daca site-ul serveste HTTPS — redirectul HTTP-to-HTTPS are o fereastra vulnerabila inainte de HSTS.
Verifică conformitatea GDPR →Greșeli frecvente
Presupunerea ca "site-ul meu are HTTPS deci cookie-urile sunt sigure" ignora faptul ca fara Secure flag, browserul trimite cookie-ul si pe conexiunile HTTP din subdomain-urile sau resursele mixed-content. Setarea Secure pe mediul de development local (localhost) cauzeaza probleme — browserele trateaza localhost ca exceptie, dar dezvoltatorii uita sa activeze flag-ul inainte de deploy.
Bune practici
Activeaza Secure pe toate cookie-urile in productie fara exceptie — nu exista motiv legitim sa trimiti un cookie pe HTTP in 2024. Configureaza framework-ul sa seteze Secure automat bazat pe mediu (production/development) si combina cu HSTS preload pentru a elimina complet conexiunile HTTP.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica secure flag (atribut cookie) pe site-ul tău.
Verificare GDPR — GratuitÎntrebări frecvente
Ce este Secure Flag (atribut cookie)?
Flagul Secure pe un cookie garanteaza ca acesta este transmis doar prin conexiuni HTTPS criptate, niciodata prin HTTP necriptat. Este obligatoriu pentru cookie-urile cu SameSite=None si recomandat pentru toate cookie-urile sensibile. Fara el, datele din cookie ar putea fi interceptate pe retele nesecurizate.
De ce este important Secure Flag (atribut cookie) pentru un website?
Cookie-urile fara flag-ul Secure sunt transmise si prin conexiuni HTTP necriptate, ceea ce permite interceptarea lor prin atacuri man-in-the-middle pe retele WiFi publice. Un atacator pe aceasi retea WiFi poate captura cookie-ul de sesiune in text clar si poate prelua contul utilizatorului instant. Firebug a demonstrat cat de trivial este acest atac inca din 2010 cu extensia Firesheep.
Termeni asociați
Mici fisiere de date stocate de site-uri web pe dispozitivul utilizatorului
Versiunea securizata a protocolului HTTP
Atributul care impiedica accesul JavaScript la un cookie
Prefixe speciale pentru cookie-uri care impun cerinte stricte de securitate