ZenovayTools

Analizador de Seguridad de Cookies

Analiza las cookies devueltas por cualquier URL en busca de atributos de seguridad. Verifica HttpOnly, Secure, SameSite (Strict/Lax/None), alcance de Dominio, expiración y señala configuraciones inseguras. Obtén una puntuación de seguridad por cookie y recomendaciones.

Cómo usar Analizador de Seguridad de Cookies

  1. 1Ingresa una URL para analizar sus cookies.
  2. 2La herramienta obtiene la URL y recopila todos los encabezados de respuesta Set-Cookie.
  3. 3Cada cookie se analiza en busca de atributos HttpOnly, Secure, SameSite y otros de seguridad.
  4. 4Se muestran problemas y recomendaciones para cada cookie insegura.
ZenovayAnalytics

Analytics sin ningún aviso de cookies.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué atributos de seguridad debe tener cada cookie?
Cada cookie de sesión o autenticación debe tener: (1) HttpOnly — evita el acceso de JavaScript, bloqueando el robo de cookies por XSS; (2) Secure — garantiza que la cookie solo se envía por HTTPS, previniendo la interceptación; (3) SameSite=Strict o Lax — previene los ataques CSRF restringiendo cuándo se envían cookies entre sitios. Para cookies no sensibles (analítica, preferencias), pueden ser aceptables configuraciones más permisivas, pero las cookies críticas de seguridad (IDs de sesión, tokens de autenticación) siempre deben tener los tres.
¿Qué es el atributo SameSite y qué valor debo usar?
SameSite controla cuándo se envía una cookie con solicitudes entre sitios. Strict: solo se envía para solicitudes del mismo sitio (más seguro, pero puede romper flujos OAuth y enlaces desde correos electrónicos). Lax (predeterminado en navegadores modernos): se envía para la navegación de nivel superior, pero no para solicitudes API entre sitios. None: se envía para todas las solicitudes entre sitios; requiere el indicador Secure. Use Strict para cookies de autenticación/sesión. Lax para la mayoría de las demás. None solo para cookies de terceros que deben funcionar entre sitios (p. ej., widgets incrustados, SSO).
¿Cuál es la diferencia entre cookies de sesión y cookies persistentes?
Las cookies de sesión no tienen atributo Expires ni Max-Age; se eliminan cuando finaliza la sesión del navegador (el usuario cierra la pestaña/ventana del navegador). Las cookies persistentes tienen una fecha Expires o un valor Max-Age y sobreviven al reinicio del navegador. Para la autenticación, las cookies de sesión son más seguras (menor ventana de exposición), pero pueden resultar incómodas para las funciones de «recordarme». Las cookies persistentes de larga duración son de mayor riesgo: si se roban, permanecen válidas más tiempo.
¿Por qué pueden bloquearse las cookies de terceros?
Los navegadores están eliminando gradualmente las cookies de terceros (cookies establecidas con un atributo Domain diferente al dominio de la página) por razones de privacidad. Chrome está alejándose de las cookies de terceros; Safari y Firefox ya las bloquean de forma predeterminada. Los patrones de autenticación modernos usan alternativas del mismo sitio como flujos de redirección OAuth, autenticación basada en tokens o almacenamiento particionado del navegador.
¿Por qué esta herramienta solo muestra cookies de la respuesta inicial?
El analizador obtiene la URL e inspecciona las cabeceras Set-Cookie en la respuesta HTTP. Las cookies establecidas por JavaScript (document.cookie) después de la carga de la página no son visibles, ya que la herramienta solo ve las cookies del lado del servidor. Además, algunas aplicaciones solo establecen cookies tras el inicio de sesión o acciones específicas. Para una auditoría exhaustiva de cookies, use las DevTools del navegador y registre todas las cabeceras Set-Cookie en todo el flujo de usuario.