SSL 和 cookie 是如何工作的？答案

【问题标题】：how SSL & cookies work?SSL 和 cookie 是如何工作的？
【发布时间】：2011-02-09 02:48:01
【问题描述】：

我了解，我们使用 SSL 对敏感数据（如用户名和密码）进行加密，以传输到服务器，而不会有人在网络中窃听。因此，服务器通过 HTTPS 返回一个安全令牌并将其存储在 cookie 中。我们在获得安全令牌后切换到 HTTP，我们将 cookie/安全令牌标头附加到每个 HTTP 请求。

现在任何人都可以看到我的安全令牌，他们可以窃听并冒充我。我的理解正确吗？

【问题讨论】：

【解决方案1】：

可以按协议设置 cookie，这样 HTTPS cookie 就不会用于 HTTP，反之亦然。此外，正确构造的安全令牌应包含 IP 地址并具有较短的到期时间。

但总的来说，最好的办法当然是将经过身份验证的会话保持在安全通道中 - SSL 现在并不是那么重量级（因为计算机变得比首次引入 SSL 时快得多），而且最重要的部分是握手，其中如果使用持久 HTTP 连接（或使用 SSL 会话恢复），则仅执行一次。

【讨论】：

所以如果我只是关闭浏览器并且没有注销并且有人在会话到期时间内导航到该站点，他们可以看到我的帐户详细信息。我的理解正确吗？ – iraSenthil 0 秒前编辑
//可以根据协议设置 cookie，这样 HTTPS cookie 就不会用于 HTTP，反之亦然。// 如果我想使用 cookie 来识别客户端有什么帮助？一旦我将它切换到 HTTP，那么我的身份就悬而未决，任何人都可以抓住它吗？
@irasenthil 1. 即使您不关闭浏览器，cookie 也可能从计算机内存中被窃取并被滥用。但这意味着您的计算机受到了威胁，无论如何您都遇到了麻烦。
@irasenthil “一旦我将其切换到 HTTP，我的身份就会浮出水面” 不，如果您使用 HTTPS 特定的 cookie，它们将不会被发送当您切换到 HTTP 时。
@iraSenthil 正如我所提到的，从安全的角度来看，让所有“经过身份验证的”流量通过 HTTPS 是更明智的，即。不要切换到HTTP。这就是我们在我们网站上所做的 - 如果您登录（仅通过 HTTPS 完成）并通过 HTTP 访问该网站，系统将无法识别您。这是为了防止窃取身份验证信息本身以及仅对经过身份验证的用户可用的信息。