0
我最近一直在閱讀會話cookie,以及他們如何通過中間人攻擊被劫持。看來這主要可能是客戶端和Web服務器之間的未加密連接。爲什麼會在UN/PW應該可用時嗅探會話Cookie?
但是,我不明白爲什麼,如果一個人已經在一個未加密連接的「中間」,人們會更喜歡捕獲cookie而不是用戶名& password - 一個更有價值的資源 - 它也應該被髮送在明文?
我最近一直在閱讀會話cookie,以及他們如何通過中間人攻擊被劫持。看來這主要可能是客戶端和Web服務器之間的未加密連接。爲什麼會在UN/PW應該可用時嗅探會話Cookie?
但是,我不明白爲什麼,如果一個人已經在一個未加密連接的「中間」,人們會更喜歡捕獲cookie而不是用戶名& password - 一個更有價值的資源 - 它也應該被髮送在明文?
竊取cookie是計算劫持最簡單的方法。
您可能*能夠 - 但是是通用的,誰說用戶名和長期完整的密碼被用於創建會話 - 可能是使用某種形式的一次性密碼。也許用戶只需要提供他們的密碼等某些字母。 – 2014-10-30 08:01:31
@Damien_The_Unbeliever:啊,這是可以理解的。但是在人們從頭開始登錄帳戶的情況下,假設如果能夠捕獲會話cookie,他們的用戶名和密碼應該相當於易於捕獲的情況下是否公平? – Abhi 2014-10-30 08:04:34