HTTPS用にCookie(安全なCookie)を暗号化する意味はありますか?HTTPSで私が知る限り、リクエスト全体が暗号化されているので、Cookieの追加の暗号化が必要ですか?
質問する
114 次
1 に答える
3
それは完全にあなたのセキュリティモデルに依存します。それでもCookieを暗号化する必要があるいくつかの理由:
アプリケーションのユーザーがCookieの内容を取得するかどうかは気になりますか?言い換えれば、内部にあり、ユーザーに開示してはならないものをそこに保存していますか?
ユーザーがCookieの内容を改ざんしてもかまいませんか?暗号化は、その方法によっては、整合性保護を取得する方法になります。(もちろん、他の方法もあります。)
クッキーの開示の結果は何ですか?ベアトークンの場合、暗号化されているかどうかに関係なく、大きな違いはありませんが、貴重なデータが含まれている場合、暗号化することで、攻撃者がブラウザに保存されているCookieに何らかの方法でアクセスするのを防ぐことができます(Web経由かどうかは関係ありません)。攻撃またはブラウザをホストしている実際のシステムへの攻撃)。他の方法で攻撃者に負ける可能性はありますが、多層防御を提供する可能性があります。
Cookieを暗号化することで得られる主なことは、必要に応じて、Cookieを受信するユーザー(またはそのユーザーのデータにアクセスできる攻撃者)に対する保護です。
于 2013-03-20T23:20:43.710 に答える