4
我看到facebook通过http发送cookie。他们如何确保免遭劫持?如果我要将cookie复制到另一台计算机上,我会登录吗?cookies是安全的从http劫持通过http
A
回答
6
你刚才描述了Session Hijacking,它是一个真正的安全问题。它可以在一些ways避免。然而,保护cookie的最简单方法是确保它们通过使用HTTPS而不是HTTP进行加密。
1
通过HTTP(端口80)发送的Cookie不安全,因为HTTP协议未加密。
通过HTTPS(端口443)发送的Cookie在HTTPS加密时是安全的。
因此,如果Facebook通过HTTP发送/接收cookie,它们可能会被盗用并恶意使用。
0
通过HTTP发送的Cookie不安全,通过HTTPS发送的cookie比HTTP更安全,但由于最近发现一些攻击SSL的方法,它们仍然可能被盗用。有关会话劫持和所有会话劫持攻击的完整说明可在此处找到:http://cleverlogic.net/tutorials/session-hijacking-0。关于防止会话劫持还有一点。
相关问题
- 1. 通过HTTP进行会话劫持
- 2. 通过SSL的HTTP验证安全?
- 3. Android的安全HTTP通信
- 4. 会话劫持安全
- 5. 安全 - 通过HTTP或HTTPS css文件
- 6. 避免会话劫持现场与HTTP
- 7. 为什么RabbitMQ不是通过HTTP而是通过HTTP来支持AMQP?
- 8. http request ... cookies
- 9. 使用http劫持者的好处是什么
- 10. Django HTTP GET安全
- 11. HTTP POST URL安全
- 12. appengine http安全吗?
- 13. Google Chrome Cookies - HTTP&HTTPS
- 14. 不安全和安全的HTTP
- 15. 安全通道支持发生错误 - 经典ASP HTTP请求
- 16. Android安全通信:JSSE或Apache Http?
- 17. Weblogic应用程序通过https安全登录后切换回http http
- 18. HTTP安全过滤器不骡子
- 19. Rails - 安全的HTTP登录?
- 20. 安全的http呼叫android
- 21. HTTP请求是通过AJAX
- 22. 强制Tomcat使用安全的JSESSIONID Cookie通过http
- 23. 通过http连接到安全的服务器android
- 24. 通过HTTP将Github连接到安全的Jenkins Post-Commit Hook
- 25. WSO2 BPS共享的HTTP cookies
- 26. 安全:http在spring安全配置?
- 27. 如何从安全网页跟踪不安全的http请求
- 28. 通过HTTP
- 29. 通过HTTP
- 30. 通过HTTP
但是当cookies到达盒子时,它们是不加密的吗?正如OP所说,他是否可以将cookie复制到另一台机器上? – hvgotcodes 2011-05-17 18:43:34
是的,这就是为什么我说“最简单”。但是,我的观点是,如果某人已经拥有对登录机器的物理访问权限,则他们不需要cookie。一般来说,如果人身安全受到影响(例如工作站密码,甚至是外门锁),cookie将永远不会安全,因此您可以制定计划,以便处理其他(我认为更常见的)案例。 – dlev 2011-05-17 18:46:17
我只是在寻求澄清,如果有人只是抓住cookie,他们可以用它来登录另一个浏览器,对吧?或没有?我认为是的(否则获得cookie将有限的效用),但只是想清楚。 – hvgotcodes 2011-05-17 18:48:18