Использование HTTPS-шифрования действительно не позволит кому-то украсть ваш токен аутентификации, если они могут перехватить трафик. Это не обязательно предотвратит нападение «человек в середине», хотя клиент не может проверять сертификаты сверстников.
This question from the security stackexchange описывает, как реализовать атаки MITM против SSL. Если я могу убедить клиента, использующего HTTPS для подключения к моему серверу, и , они принимают мой сертификат, тогда я могу украсть ваш токен аутентификации и повторно использовать его. Проверка валидного сертификата иногда немного больна для настройки, но это может дать вам более высокий шанс того, к кому вы подключаетесь, - это те, кто они говорят.
«Достаточно хорошо» является относительным определением и зависит от вашего уровня паранойи. Лично я был бы рад, что мое соединение достаточно безопасно, и HTTPS и проверка сертификатов сверстников включены.
Предположительно также время аутентификации для токенов, поэтому окно атаки будет ограничено по времени. Например, токен аутентификации OpenStack по умолчанию действует в течение 24 часов до истечения срока его действия, а затем вам необходимо получить новый.
Спасибо. Я вижу, поэтому я не должен беспокоиться о проблеме безопасности, потому что она будет закрыта HTTPS.Мне было интересно, лучше ли использовать передовые методы управления сеансами вместе с использованием HTTPS (IMO, если HTTPS не используется, это был серьезный недостаток безопасности, и именно поэтому я нервничаю). – 2Real
Я не говорю, чтобы не беспокоиться об этом, но что HTTPS обеспечивает уровень безопасности и защиты от типов атак MIM. Лучшая практика для управления сессиями обязательно должна соблюдаться! :) – davidalger
Спасибо, дает мне хорошее представление о том, как действовать :) – 2Real