クライアントとサーバー間のすべての通信がSSLを介して行われ、「requireSSL=true」がCookieに設定されていると想定します。
2 に答える
1
HTTPSはHTTPoverTLS / SSLであり、HTTPメッセージを交換する前にSSL/TLS接続を確立します。
両方のパーティが正しく構成され、クライアントが証明書を検証する場合、SSL/TLSトンネルはHTTPトラフィックをMITM攻撃および盗聴から保護します。
これにより、ブラウザとサーバー間の関係者がそのCookieを見ることができなくなります。さらに、これが安全なCookieである場合(secureフラグはで構成されている可能性がありますrequireSSL=true)、ブラウザーはHTTPS要求でのみCookieを返送する必要があります(サイトでHTTPとHTTPSの両方を使用している場合)。httpOnly(スクリプトを含む攻撃を防ぐために、Cookieにも設定すると便利な場合があります。)
于 2012-09-13T14:07:49.840 に答える
0
理論的にはそうではなく、次の者によってのみ盗まれる可能性があります。
- ブラウザのバグ
- 中間者攻撃
- 弱い暗号アルゴリズム
于 2012-09-13T14:10:02.633 に答える