1
Есть ли смысл шифровать файлы cookie (безопасные куки) для HTTPS? Насколько я знаю, весь запрос HTTPS зашифрован, нужно ли нам дополнительно шифровать файлы cookie?Чувство безопасного печенья над HTTPS
A
ответ
3
Это зависит полностью от вашей модели безопасности. Некоторые причины, по которым вам все равно необходимо шифровать файлы cookie:
Вам не нравится, если пользователь вашего приложения получает содержимое файла cookie? Другими словами, вы храните что-нибудь там, что является внутренним, и не должны быть раскрыты пользователю?
Вам небезразлично, что пользователь сжимает содержимое файла cookie? Шифрование может быть способом получения защиты целостности в зависимости от того, как вы это делаете. (Есть, конечно, и другие способы.)
Каковы последствия раскрытия файла cookie? Если это токен-носитель, независимо от того, зашифрован он или нет, он не будет иметь большого значения, но если он содержит ценные данные, шифрование обеспечивает некоторую защиту от злоумышленника, получающего доступ к хранимым куки-файлам браузера каким-либо образом (через веб-сайт атака или атака на фактическую систему, в которой размещен браузер). Вы по-прежнему можете проиграть злоумышленнику другими способами, но он может обеспечить некоторую защиту в глубину.
Главное, что шифрование куки дает защита от пользователя, который принимает куки (или злоумышленник, который может получить доступ к данным этого пользователя), если вам нужно.
Смежные вопросы
- 1. Стратегия безопасного печенья
- 2. прочитанной печенья HTTPS
- 3. Выполнение безопасного HTTPS-соединения
- 4. Создания безопасного подключения к HTTPS
- 5. ли уже существует реализацию ASP.NET для «безопасного протокола печенья»
- 6. Google Войти с контролем над датой печенья
- 7. Чувство зависания над внешним краем круга Path2D в JPanel
- 8. Leaflet.js плитки над HTTPS
- 9. ServiceBroker - Что такое чувство сообщений?
- 10. чувство запросов RESTful
- 11. Чувство NLTK к объекту
- 12. Чувство массива и ArrayList
- 13. Чувство позади пустого индекса?
- 14. IIS Rest над HTTPS только
- 15. мерзавец клон над Https таймаут
- 16. HTTPs над Bottlepy и Gevent
- 17. download.file работает только над https
- 18. Скрипт не работает над HTTPS
- 19. FFmpeg над HTTPS не удается
- 20. Magento потери печенья, когда Логин (переход от HTTP к HTTPS)
- 21. Electron печенья
- 22. Ложное чувство безопасности с `snprintf_s`
- 23. Чувство сложности в extjs комбо
- 24. Автоуровень Photoshop, Контрасты/чувство Picasa
- 25. Чувство Связующие событий в WxPython
- 26. установка печенья не работает
- 27. com.google.api.services.drive или com.google.android.gms.drive: чувство запутанности: s
- 28. Использование веб-апи печенья для печенья Mvc
- 29. HighStock Charts не работает над SSL, т. Е. Https
- 30. Обновление печенья с AngularJS
Эй, посмотрите, этот файл cookie имеет мое имя пользователя в нем. Я собираюсь изменить свое имя пользователя на имя пользователя известного администратора и посмотреть, что произойдет. – MikeSmithDev
Ах. Хороший ответ. Благодарю. –
Просто укажите, что «безопасный файл cookie» обычно относится к файлу cookie с безопасным флагом. Не имеет никакого отношения к шифрованию/подписанию. – Bruno