Una vulnerabilidad de seguridad en el framework web, Django, podría facilitar aún más el hecho de que un atacante robe las cookies de un usuario y así pueda acceder a su sitio web, incluso después de haber cerrado la sesión.

La vulnerabilidad de sesión no válida fue descubierta por G.S. McNamara, el mismo investigador que descubrió una vulnerabilidad similar en el framework de aplicaciones web Ruby on Rails en septiembre.

Como en Rails, Django permite a los usuarios decidir dónde quieren almacenar los datos de sesión del usuario. Si bien no es la predeterminada, una de las opciones es el almacenamiento basado en cookies, señala McNamara,la cual almacena todos los datos de la sesión en la cookie y lo firma.

"El nombre predeterminado de una cookie de sesión es 'sessionid' independientemente de que la cookie solo almacena un identificador de sesión o el hash completo de los datos de sesión", explicó McNamara en un blog de su sitio web MaverickBlogging.com.

McNamara señala que en comparación con Rails, es un poco más difícil determinar qué almacenamiento de sesión de usuario ha implementado, pero si un usuario estaba usando sesiones basadas en cookies y un atacante tuviera acceso a esa máquina, incluso si el usuario se desconectó, ellos podrían encontrar, robar o interceptar la cookie y acceder fácilmente a la página web de ese usuario.

Django, es un framework de aplicaciones web de código abierto que ayuda a los usuarios a construir aplicaciones web, se ejecuta en Python y se actualizó por última vez hace apenas dos semanas.

McNamara, quien reside en Washington D.C., alertó a los desarrolladores de Django acerca de la vulnerabilidad, pero no parece haber una pronta solución.

En cambio, el grupo a cargo del framework, la Fundación Django Software, dedidió advertir a los usuarios acerca de las implicaciones de seguridad asociadas con sesiones basadas en cookies.