2
据我所知,我们使用SSL来加密敏感数据,如用户名和密码,以便在没有人在网络窃听的情况下传输到服务器。那么服务器通过HTTPS和它的存储在cookie中返回一个安全的令牌。我们在拥有安全令牌后切换到HTTP,我们将cookie /安全令牌头添加到每个HTTP请求。SSL和cookie如何工作?
现在任何人都可以看到我的安全令牌,他们可以窃听并模仿我。我的理解是否正确?
A
回答
5
Cookie可以根据协议设置,以便HTTPS cookie不用于HTTP,反之亦然。此外,正确构建的安全令牌应包含IP地址,并具有较短的到期时间。
但是总的来说,最好的想法当然是保持通过身份验证的会话安全通道 - 现在SSL不是重量级的(因为计算机变得比首次引入SSL时快得多)并且最重要的部分是握手,如果使用持久HTTP连接(或使用SSL会话恢复),则只执行一次。
+0
因此,如果我只关闭浏览器并且没有注销,并且有人在会话过期时间内导航到该网站,则可以看到我的帐户详细信息。我的理解是否正确? - iraSenthil 0秒前编辑 – iraSenthil 2011-02-08 18:55:11
相关问题
- 1. SSL如何工作?
- 2. 如何使Nginx和SSL POSBOX工作
- 3. 会话和cookie如何工作?
- 4. 不工作ssl和www
- 5. 如何使用SSL页面创建Cookie?
- 6. 如何设置SSL cookie asp IIS6 ASP
- 7. 单向SSL如何在MQTT中工作?
- 8. AWS RDS MYSQL SSL如何工作?
- 9. CGI cookie如何在Ruby中工作?
- 10. Cookie如何与HTTP协同工作?
- 11. Cookie Crumbler如何在Zope中工作?
- 12. Heroku Comodo SSL和它不工作?
- 13. 写入规则和SSL不工作
- 14. 会话和cookie如何在Rails 4中工作?
- 15. Perl Cookie不工作
- 16. jquery cookie不工作
- 17. Selenium IDE,deleteAllVisibleCookies和ASP.NET_SessionId Cookie - 不工作
- 18. 确定API工作2路SSL,另一路工作单向SSL
- 19. ssl for facebook https不工作
- 20. ssl无法正常工作
- 21. fsockopen ssl连接不工作
- 22. MAMP PRO 3.0.7 SSL不工作
- 23. 如何在iframe中设置cookie? Facebook cookies如何工作?
- 24. Cookie未设置/工作
- 25. AngularJS cookie不会工作
- 26. firefox .aspxauth cookie不工作
- 27. 与cookie的工作在MVC
- 28. Cookie不工作在PHP aws
- 29. 设置cookie不会工作
- 30. Cakephp 1.3 cookie httponly不工作
是的,如果有人能够在他们的机器上重新创建该cookie,他们可以'登录'到该网站。它被称为[Session Hijacking](会话劫持)(http://en.wikipedia.org/wiki/Session_hijacking)。 – drudge 2011-02-08 18:43:17