Domanda:
Come posso verificare che i miei cookie vengano inviati solo tramite https criptato e non http?
Jonas
2010-11-12 05:59:59 UTC
view on stackexchange narkive permalink

Ho letto un post sul blog GitHub passa a SSL, ma rimane Firesheepable in cui si afferma che i cookie possono essere inviati non crittografati su http anche se il sito utilizza solo https. Scrivono che un cookie dovrebbe essere contrassegnato con un "flag di sicurezza", ma non so come sia il flag.

Come posso verificare che i miei cookie vengano inviati solo tramite https criptato e non su http non crittografato, sul mio sito che utilizza solo https?

Tre risposte:
#1
+48
AviD
2010-11-12 06:05:53 UTC
view on stackexchange narkive permalink

Il flag di protezione dei cookie ha il seguente aspetto:

secure;

Questo è tutto.
Dovrebbe apparire alla fine dell'intestazione Http :

Set-Cookie: mycookie = somevalue; percorso = / securesite /; Scade = 12/12/2010; sicuro; httpOnly;

Ovviamente, per controllarlo, collega semplicemente un proxy o uno sniffer (io uso l'ottimo Fiddler) e guarda ...

* Bonus: ho anche inserito l'attributo httpOnly, protegge dall'accesso ai cookie dallo spazio Javascript, ad es tramite XSS.

#2
+19
KirkJ
2010-11-12 06:08:37 UTC
view on stackexchange narkive permalink

Puoi controllare utilizzando uno strumento come Firebug (un'estensione per Firefox: http://getfirebug.com/). Il cookie verrà visualizzato come "protetto".

Inoltre, se utilizzi Firefox, puoi controllare la finestra "Rimuovi singoli cookie".

Da un punto di sviluppo di view, un cookie "sicuro" è uguale a uno normale, ma contiene un parametro aggiuntivo. ad es.

  SessionId = blah; percorso = /; sicuro; HttpOnly  

Il tuo framework di sviluppo con, si spera, supporta l'aggiunta di questo facilmente: facci sapere quale piattaforma stai utilizzando se hai bisogno di aiuto.

Mentre sei lì, io Suggerirei di aggiungere anche il flag HttpOnly se non stai manipolando i cookie in Javascript, darà ai cookie una protezione aggiuntiva da alcuni attacchi XSS.

#3
+3
d1jhoni1b
2016-08-25 12:59:14 UTC
view on stackexchange narkive permalink

Puoi anche utilizzare il plug-in di Google Chrome per raggiungere questo obiettivo, un ottimo client REST avanzato

Un output di esempio è simile a questo:

  Connessione: keep-aliveStrict-Transport-Security: max-age = 31536000Content-Type: application / jsonContent-Length: 104X-Content-Type-Options: nosniffServer: WEBrick / 1.3.1 (Ruby / 2.0.0 / 2015-12 -16) Data: Thu, 25 Aug 2016 07:15:57 GMTSet-Cookie: your.cookie.name = some-hash-uuid-here; dominio = your-backend-hostname.com; percorso = /; scade = Sab, 24 settembre 2016 07:15:57 -0000; HttpOnly; secureVia: 1.1 vegur  

Come vedi alla fine del valore dell'attributo " Set-Cookie " vedrai la parola " secure "come commentato più volte nelle risposte precedenti, ma nota anche come esiste un attributo chiamato" Strict-Transport-Security "che è importante menzionare.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...