Есть ли смысл шифровать файлы cookie (безопасные куки) для HTTPS? Насколько я знаю, весь запрос HTTPS зашифрован, нужно ли нам дополнительно шифровать файлы cookie?Чувство безопасного печенья над HTTPS
ответ
Это зависит полностью от вашей модели безопасности. Некоторые причины, по которым вам все равно необходимо шифровать файлы cookie:
Вам не нравится, если пользователь вашего приложения получает содержимое файла cookie? Другими словами, вы храните что-нибудь там, что является внутренним, и не должны быть раскрыты пользователю?
Вам небезразлично, что пользователь сжимает содержимое файла cookie? Шифрование может быть способом получения защиты целостности в зависимости от того, как вы это делаете. (Есть, конечно, и другие способы.)
Каковы последствия раскрытия файла cookie? Если это токен-носитель, независимо от того, зашифрован он или нет, он не будет иметь большого значения, но если он содержит ценные данные, шифрование обеспечивает некоторую защиту от злоумышленника, получающего доступ к хранимым куки-файлам браузера каким-либо образом (через веб-сайт атака или атака на фактическую систему, в которой размещен браузер). Вы по-прежнему можете проиграть злоумышленнику другими способами, но он может обеспечить некоторую защиту в глубину.
Главное, что шифрование куки дает защита от пользователя, который принимает куки (или злоумышленник, который может получить доступ к данным этого пользователя), если вам нужно.
- 1. Стратегия безопасного печенья
- 2. прочитанной печенья HTTPS
- 3. Выполнение безопасного HTTPS-соединения
- 4. Создания безопасного подключения к HTTPS
- 5. ли уже существует реализацию ASP.NET для «безопасного протокола печенья»
- 6. Google Войти с контролем над датой печенья
- 7. Чувство зависания над внешним краем круга Path2D в JPanel
- 8. Leaflet.js плитки над HTTPS
- 9. ServiceBroker - Что такое чувство сообщений?
- 10. чувство запросов RESTful
- 11. Чувство NLTK к объекту
- 12. Чувство массива и ArrayList
- 13. Чувство позади пустого индекса?
- 14. IIS Rest над HTTPS только
- 15. мерзавец клон над Https таймаут
- 16. HTTPs над Bottlepy и Gevent
- 17. download.file работает только над https
- 18. Скрипт не работает над HTTPS
- 19. FFmpeg над HTTPS не удается
- 20. Magento потери печенья, когда Логин (переход от HTTP к HTTPS)
- 21. Electron печенья
- 22. Ложное чувство безопасности с `snprintf_s`
- 23. Чувство сложности в extjs комбо
- 24. Автоуровень Photoshop, Контрасты/чувство Picasa
- 25. Чувство Связующие событий в WxPython
- 26. установка печенья не работает
- 27. com.google.api.services.drive или com.google.android.gms.drive: чувство запутанности: s
- 28. Использование веб-апи печенья для печенья Mvc
- 29. HighStock Charts не работает над SSL, т. Е. Https
- 30. Обновление печенья с AngularJS
Эй, посмотрите, этот файл cookie имеет мое имя пользователя в нем. Я собираюсь изменить свое имя пользователя на имя пользователя известного администратора и посмотреть, что произойдет. – MikeSmithDev
Ах. Хороший ответ. Благодарю. –
Просто укажите, что «безопасный файл cookie» обычно относится к файлу cookie с безопасным флагом. Не имеет никакого отношения к шифрованию/подписанию. – Bruno