7

stackoverflowはログインページでSSLのみを使用し、質問/回答はHTTP経由で投稿できることに気づきました。

そのためにはユーザーがログインしている必要があるため、SSLが使用されていない場合、stackoverflowがログインしているユーザーを追跡する方法を知りたいと思います。

現在、Cookieを使用してログインステータスを追跡するRailsアプリを作成しています。それを安全に行うにはSSLが必要だといつも思っていました。しかし、私はこれをログインユーザーとしてHTTP経由で投稿しています。

実行してからstackoverflowにアクセスすると、「usr」という名前のtcpdump -i eth0 -ACookieがあり、このCookieはSSLなしでプレーンテキストで送信されます。Wi-Fiカフェなどの安全でない接続を介してログインした場合、ハッカー/パケットスニファが私のusr cookieを取得し、セッションを再生できますか?

RailsアプリでSSLを使用することは避けたいので(ホストはそれを実装するために腕と脚を充電するため)、stackoverflowと同じ手法を使用したいと思います。SSLを使用せずにユーザーをログインさせたままにしたい。

ここではデータベース(またはmemcache / redis)セッションストアが使用されていると思います。しかし、確かにある種のクッキーはまだ必要ですか?なぜこれらのCookieをSSL経由で送信する必要がないのですか?これらのCookieを別のマシンのハッカーに冗長化するバックグラウンドで何か他のことが起こっていますか?

4

1 に答える 1

1

これが私が信じていること、またはアプリケーションで使用できることです。ユーザーがログインページからログインすると、2種類のCookieが作成されます。2番目のCookieを作成して、HTTPSページにのみ返送され、他のすべてのページ(HTTPおよびHTTPSを含む)が最初のCookie(ユーザーセッションCookie)を使用して、セッションと安全な情報を格納するすべてのページを維持できるようにします。これはユーザー専用で、2番目のHTTPSCookieを使用します。

このように、これらのページはセッションCookieのみを使用して表示できますが、表示したい瞬間に2番目のHTTPSCookieを使用するユーザー情報ページが表示されます。

それが理にかなっていることを願っています。

于 2012-07-14T22:28:56.910 に答える