comment SSL & les cookies de travail?
Je comprends, nous utilisons le protocole SSL pour crypter les données sensibles comme nom d'utilisateur et mot de passe pour transporté vers le serveur sans que les gens dans le réseau d'écoutes. Donc, le serveur renvoie un jeton sécurisé via HTTPS et ses stockées dans le cookie. Nous avons passer en HTTP, après que nous avons émission de jeton de sécurité, nous attachons cookie/jeton sécurisé en-tête pour chaque requête HTTP.
Maintenant n'importe qui peut voir mon émission de jeton de sécurité et qu'ils peuvent écouter et usurper l'identité de moi. Est ma compréhension correcte?
- Oui, si quelqu'un est capable de recréer le cookie sur leur machine, ils peuvent être "connecté" sur le site. Il s'appelle le Détournement de Session.
Vous devez vous connecter pour publier un commentaire.
Les cookies peuvent être définis par le protocole, de sorte que HTTPS cookies ne sont pas utilisés pour HTTP et vice versa. Aussi, le bien construits émission de jeton de sécurité doit inclure une adresse IP et un court temps d'expiration.
Mais en général, la meilleure idée est bien sûr de garder la session authentifiée dans le canal sécurisé SSL n'est pas que des poids lourds de ces jours (comme les ordinateurs sont devenus beaucoup plus rapidement que lorsque le protocole SSL a été introduit) et aussi la partie la plus lourde est la poignée de main, qui est effectuée qu'une seule fois si persistante connexion HTTP est utilisé (ou lors de la reprise de la session SSL est utilisé).