1
對於HTTPS加密cookie(安全cookie)是否有意義? 據我所知在HTTPS整個請求被加密,所以我們需要額外的加密cookie?通過HTTPS安全cookie的感覺
A
回答
3
這完全取決於您的安全模型。您仍然需要加密Cookie的一些原因:
您是否在意應用程序的用戶是否獲取了cookie的內容?換句話說,你是否存儲那些內部的東西,而不應該向用戶透露?
你關心,如果用戶與cookie的內容篡改?根據您的操作方式,加密可以成爲獲得完整性保護的一種方式。 (有,當然,其他方面也。)
什麼餅乾披露的後果是什麼?如果它是一個不記名的令牌,它是否被加密不會有很大的區別,但是如果它包含有價值的數據,對它進行加密可以防止攻擊者以某種方式獲得對瀏覽器存儲的cookie的訪問權限(無論是通過web攻擊或攻擊實際託管瀏覽器的系統)。你仍然可能以其他方式輸給攻擊者,但它可以提供一些深度的防禦。
加密cookie的主要目的是防止接收cookie的用戶(或可以訪問該用戶數據的攻擊者),如果需要的話。
相關問題
- 1. 通過安全連接發佈非安全cookie會導致僞安全cookie
- 2. 通過安全網關的HTTPS
- 3. 通過HTTPS不安全的「視頻」
- 4. HTTPS連接中的Cookie是否安全?
- 5. NSURLConnection通過https有多安全
- 6. Javascript和jQuery不安全通過https
- 7. 安全 - 通過HTTP或HTTPS css文件
- 8. NSURLCredential是否通過https保護安全?
- 9. 通過代理servlet設置安全cookie
- 10. Erlang是否通過cookie足夠安全?
- 11. 通過AJAX向PHP傳遞安全cookie
- 12. HSTS vs只有https和安全cookie
- 13. 龍捲風安全cookie過期(又名安全會話cookie)
- 14. 通過HTTPS的HTTP Cookie和Ajax請求
- 15. 通過HTTPS連接的cookie傳遞
- 16. HTTPS和安全
- 17. Cookie安全
- 18. asp.net安全cookie
- 19. PHP Cookie安全
- 20. HTML Cookie安全
- 21. 安全Cookie ASP.NET
- 22. 通過https不能正常工作的春季安全註銷
- 23. 通過HTTPS的安全令牌服務(STS)
- 24. 通過HTTPS的Facebook JavaScript SDK加載非安全項目
- 25. 通過https使用安全的maven倉庫
- 26. 強制Tomcat使用安全的JSESSIONID Cookie通過http
- 27. 混合內容:https上的頁面通過https加載,但請求不安全
- 28. 'https://example.com'頁面通過HTTPS加載,但請求不安全的XMLHttpRequest端點
- 29. 如何將不安全的cookie轉換爲安全的cookie
- 30. 通過HTTPS發送Cookie但通過HTTP發送HTML
嘿,看,這個cookie中有我的用戶名。我要將我的用戶名更改爲已知管理員的用戶名,並查看會發生什麼情況。 – MikeSmithDev 2013-03-20 23:21:59
啊。良好的反應。謝謝。 – 2013-03-20 23:28:49
只需指出「安全cookie」通常指的是帶有安全標誌的cookie。與加密/簽名無關。 – Bruno 2013-03-21 09:49:30