comment SSL & les cookies de travail?

Je comprends, nous utilisons le protocole SSL pour crypter les données sensibles comme nom d'utilisateur et mot de passe pour transporté vers le serveur sans que les gens dans le réseau d'écoutes. Donc, le serveur renvoie un jeton sécurisé via HTTPS et ses stockées dans le cookie. Nous avons passer en HTTP, après que nous avons émission de jeton de sécurité, nous attachons cookie/jeton sécurisé en-tête pour chaque requête HTTP.

Maintenant n'importe qui peut voir mon émission de jeton de sécurité et qu'ils peuvent écouter et usurper l'identité de moi. Est ma compréhension correcte?

  • Oui, si quelqu'un est capable de recréer le cookie sur leur machine, ils peuvent être "connecté" sur le site. Il s'appelle le Détournement de Session.
InformationsquelleAutor iraSenthil | 2011-02-08
  1. 5

    Les cookies peuvent être définis par le protocole, de sorte que HTTPS cookies ne sont pas utilisés pour HTTP et vice versa. Aussi, le bien construits émission de jeton de sécurité doit inclure une adresse IP et un court temps d'expiration.

    Mais en général, la meilleure idée est bien sûr de garder la session authentifiée dans le canal sécurisé SSL n'est pas que des poids lourds de ces jours (comme les ordinateurs sont devenus beaucoup plus rapidement que lorsque le protocole SSL a été introduit) et aussi la partie la plus lourde est la poignée de main, qui est effectuée qu'une seule fois si persistante connexion HTTP est utilisé (ou lors de la reprise de la session SSL est utilisé).

    • Donc, Si je viens de fermer le navigateur et n'a pas de déconnexion et que quelqu'un accède au site à l'intérieur de l'expiration de la session temps, ils peuvent voir les détails de mon compte. Est ma compréhension correcte? – iraSenthil 0 secondes auparavant modifier
    • //Les cookies peuvent être définis par le protocole, de sorte que HTTPS cookies ne sont pas utilisés pour HTTP et vice versa.// Comment faire si je veux utiliser un cookie pour l'identification du client? Une fois que je veux le changer pour HTTP, puis mon identité est en l'air, tout le monde peut l'attraper à droite?
    • 1. Même si vous n'avez pas de fermer le navigateur, le cookie peut être volé de la mémoire de l'ordinateur et utilisée à mauvais escient. Mais cela signifie que votre ordinateur est compromise et que vous êtes en difficulté de toute façon.
    • Je veux le changer pour HTTP, puis mon identité est dans l'air" Non, si vous utilisez HTTPS cookies spécifiques, ils ne seront pas envoyés lorsque vous passez en HTTP.
    • vous utilisez HTTPS cookies spécifiques, ils ne seront pas envoyés lorsque vous passez à l'adresse HTTP// Comment serveur idnetify moi après que j'ai passer de HTTPS en HTTP? Serait-il envoyer deux biscuits différents l'un de HTTPS et un autre pour HTTP?
    • Comme je l'ai mentionné, du point de vue sécurité, il est plus sage d'avoir tous les "authentifié" le trafic à passer par HTTPS, c'est à dire. de ne pas passer en HTTP. C'est ce que nous faisons sur notre site - si vous êtes connecté (ce qui est fait uniquement via HTTPS) et visite le site via HTTP, le système ne fonctionne tout simplement pas vous reconnaître. C'est intentionnel, pour éviter de voler les informations d'authentification elle-même et qui n'est disponible que pour les utilisateurs authentifiés.

    InformationsquelleAutor Eugene Mayevski 'Allied Bits