我是否认为如果您通过 SSL 加密请求传递会话 cookie,则该 cookie 只能由直接访问该 cookie 发送到的计算机或它拥有的服务器的攻击者读取是否正确是从那里发送的,前提是他们无法破解加密?
【问题讨论】:
标签: security cookies ssl session-cookies
SSL 加密所有流量,包括标头(包含 cookie 值)。
另一方面,cookie 可以通过客户端计算机上的 Javascript 访问,除非您将其标记为 HttpOnly。黑客可能会通过 XSS 攻击来运行此脚本。
此外,还有一些方法可以通过精心制作的电子邮件或网页来劫持 cookie。这称为会话骑行或 CSRF。
最后,对于超出 SSL 终止点的任何网络连接,cookie 都会在网络上可见,例如如果您的数据中心使用 SSL 卸载和/或深度数据包检测。
哦,还有一件事。如果 SSL 配置不正确,它很容易受到 MITM 攻击,例如您的服务器配置为接受空协议。在这种情况下,黑客当然可以将 cookie 读取为 day。
我认为就是这样。这应该足以让你夜不能寐。
【讨论】:
要添加到@John Wu 的答案,您还可以通过设置Secure Flag 来防止另一种类型的MITM 攻击。这将确保 cookie 仅在通过 HTTPS 加密发送请求时由浏览器传输。
即使 cookie 只能由您的站点设置,您仍应在输出时对其进行编码以防范XSS。有关详细信息,请在此处查看我的其他答案:https://security.stackexchange.com/a/44976/8340
【讨论】:
正确,SSL 对网络上的所有 HTTP 进行加密。
【讨论】: