Recapitulando de um post que fiz há umas semanas atrás sobre httponly cookies, o Scott Hanselman aborda o mesmo tema, apresentando o exemplo de migração de cookies para httponly cookies. Não percebi foi a frase:
"The value of this property is questionable since any sniffer or Fiddler could easily remove it. That said, it could slow down the average script kiddie for 15 seconds."
A ideia do header é evitar que as cookies sejam lidas client side (e posteriormente enviadas a terceiros), um vector de ataque geralmente chamado de Cross Site Scripting, aka XSS (o nome não é feliz na divulgação do problema...). Sou leitor assíduo do blog do Scott mas desta vez penso que a comunidade seria melhor servida se a razão das httponly cookies tivesse sido exposta correctamente... até pq o código em si é...bem, óbvio. :)
Mais alguma informação em: The 80/20 Rule for Web Application Security
PS-Esta flag já é usada pelo runtime do ASP.Net 2.0 . Embora o ideal fosse eliminar as causas deste ataque (inputs não filtrados/tratados)... aplicando a máxima usual de "defense in depth" é mais uma barreira (facílima de aplicar), vamos ver se pega no FireFox & derivados.
Depois do Google Earth, claro está, o MS Virtual Earth. :) Acabadinho de chegar. A minha 1a impressão foi mais favorável para o gearth mas vamos ver.
O blog do Rockford Lhotka tem uma série de artigos interessantes sobre arquitecturas aplicacionais:
Ainda nas arquitecturas, um documento minimamente detalhado sobre as origens e implementação do Google: The Anatomy of a Large-Scale Hypertextual Web Search Engine .
Estava também à procura de algo semelhante sobre o hattrick, se alguém tiver alguma informação avise, gostava de ler.