是否真的说“任何时候用户登录到一个站点,并且没有重定向到 SSL/TLS/HTTPS 连接,会话 cookie 很容易受到攻击”?
保护 Facebook 凭据的最佳解决方案是什么,它是如何工作的?
有什么方法可以进行安全会话并且没有SSL/TLS?换句话说,有没有办法让一台机器上的cookies不能在另一台机器上重放?
最后一个问题之所以重要,是因为 Google AdSense 不支持 SSL/TLS,因此会强制设计者公开所有 cookie。这将反过来影响依赖 AdSense 的每个网站
问问题
476 次
3 回答
3
如果您没有 SSL/TLS,问题在于 cookie 并在网络上以明文形式发送。
任何监听 TCP/IP 流量的人都可以读取未加密的数据,并且可以读取您的 cookie。
拥有它们后,您可以将其复制到自己的计算机上,它会起作用...
你需要 SSL/TLS !
于 2010-10-26T14:37:20.757 回答
0
当您以公开(未加密)的方式传输数据时,无法保护您的信息,尤其是不使用 cookie,这是一种众所周知且广泛使用的用于存储不敏感用户信息的协议。您可以尝试各种技巧和技巧来断言只有收到 cookie 的人才能使用它,但这并不是 cookie 的设计目的。Cookie 不是安全功能!
如果您想要隐私,请使用加密。就这么简单。SSL 证书很便宜(每年低至 10 美元)。如果需要安全和隐私,那么没有理由不使用 SSL。
于 2010-10-26T14:52:04.903 回答
-3
对于您自己的网站,您可以设计更安全的 cookie:http: //jaspan.com/improved_persistent_login_cookie_best_practice
但是因为 Facebook 没有这样做,所以唯一的选择是使用 SSL。
于 2010-10-26T14:47:10.027 回答