Cosa analizziamo?
I cookie memorizzano informazioni sensibili come i token di sessione. Se non sono configurati correttamente, un attaccante può rubarli e impersonare l'identità dell'utente legittimo.
Flag verificati
Flag Secure
Il cookie viene inviato solo tramite HTTPS, mai su connessioni non crittografate.
Flag HttpOnly
Il cookie non è accessibile da JavaScript, proteggendolo da XSS.
Attributo SameSite
Controlla se il cookie viene inviato in richieste cross-site, prevenendo CSRF.
Tempo di scadenza
Verifica che i cookie di sessione non persistano indefinitamente.
Perché è importante?
Un cookie di sessione rubato consente all'attaccante di accedere all'account dell'utente senza bisogno di conoscere la password. Attacchi come XSS o sniffing di rete possono catturare cookie mal configurati.
Impatto se fallisce
- Furto di sessione utente (session hijacking)
- Accesso non autorizzato agli account utente
- Furto d'identità
- Compromissione di dati personali
Sanzioni potenziali
| Tipo di azienda | Multa indicativa |
|---|---|
| Microimpresa | 5.000 - 30.000 € |
| PMI | 30.000 - 200.000 € |
| Grande impresa | Fino a 10M € o 2% fatturato |