2
據我所知,我們使用SSL來加密敏感數據,如用戶名和密碼,以便在沒有人在網絡竊聽的情況下傳輸到服務器。那麼服務器通過HTTPS和它的存儲在cookie中返回一個安全的令牌。我們在擁有安全令牌後切換到HTTP,我們將cookie /安全令牌頭添加到每個HTTP請求。SSL和cookie如何工作?
現在任何人都可以看到我的安全令牌,他們可以竊聽並模仿我。我的理解是否正確?
A
回答
5
Cookie可以根據協議設置,以便HTTPS cookie不用於HTTP,反之亦然。此外,正確構建的安全令牌應包含IP地址,並具有較短的到期時間。
但是總的來說,最好的想法當然是保持通過身份驗證的會話安全通道 - 現在SSL不是重量級的(因爲計算機變得比首次引入SSL時快得多)並且最重要的部分是握手,如果使用持久HTTP連接(或使用SSL會話恢復),則只執行一次。
+0
因此,如果我只關閉瀏覽器並且沒有註銷,並且有人在會話過期時間內導航到該網站,則可以看到我的帳戶詳細信息。我的理解是否正確? - iraSenthil 0秒前編輯 – iraSenthil 2011-02-08 18:55:11
相關問題
- 1. SSL如何工作?
- 2. 如何使Nginx和SSL POSBOX工作
- 3. 會話和cookie如何工作?
- 4. 不工作ssl和www
- 5. 如何使用SSL頁面創建Cookie?
- 6. 如何設置SSL cookie asp IIS6 ASP
- 7. 單向SSL如何在MQTT中工作?
- 8. AWS RDS MYSQL SSL如何工作?
- 9. CGI cookie如何在Ruby中工作?
- 10. Cookie如何與HTTP協同工作?
- 11. Cookie Crumbler如何在Zope中工作?
- 12. Heroku Comodo SSL和它不工作?
- 13. 寫入規則和SSL不工作
- 14. 會話和cookie如何在Rails 4中工作?
- 15. Perl Cookie不工作
- 16. jquery cookie不工作
- 17. Selenium IDE,deleteAllVisibleCookies和ASP.NET_SessionId Cookie - 不工作
- 18. 確定API工作2路SSL,另一路工作單向SSL
- 19. ssl for facebook https不工作
- 20. ssl無法正常工作
- 21. fsockopen ssl連接不工作
- 22. MAMP PRO 3.0.7 SSL不工作
- 23. 如何在iframe中設置cookie? Facebook cookies如何工作?
- 24. Cookie未設置/工作
- 25. AngularJS cookie不會工作
- 26. firefox .aspxauth cookie不工作
- 27. 與cookie的工作在MVC
- 28. Cookie不工作在PHP aws
- 29. 設置cookie不會工作
- 30. Cakephp 1.3 cookie httponly不工作
是的,如果有人能夠在他們的機器上重新創建該cookie,他們可以'登錄'到該網站。它被稱爲[Session Hijacking](會話劫持)(http://en.wikipedia.org/wiki/Session_hijacking)。 – drudge 2011-02-08 18:43:17