HTTPリクエストの一部、たとえばセッションIDを保護するにはどうすればよいですか?HTTPSを使用できることは知っていますが、サーバーはすべてのリクエストを復号化する必要があります。リクエストの必要な部分だけを暗号化するのが理想的ではないでしょうか?
これを可能にする、またはこれを行う方法を通知するフレームワークまたはリソースはありますか?
2 に答える
10
HTTPS は使用する正しいツールです。パケットを復号化する計算負荷は非常に低いです。Google は今年初めに GMail 全体をデフォルトで HTTPS に変更し、SSL 暗号化/復号化のためのサーバーの CPU 負荷は約 1% であると報告しています。
ストリームの一部のみを暗号化した場合でも、中間者攻撃やリプレイ攻撃の問題が残ります。SSL は、これらを防ぐ唯一の方法です。セッション ID が暗号化されているかどうかは問題ではありません。中間者がそれをキャプチャできれば、暗号化された形式で再利用でき、サーバーは違いを認識しません。
これは、GMail が 100% SSL に切り替わってからの Google の経験に関するブログ投稿です。
于 2010-11-11T00:20:25.450 に答える
3
HTTPS はオール オア ナッシングです。ページ上のすべての要素が HTTPS で保護されていない場合、ユーザーは通常、左上隅に「壊れたロック」を取得します。これは、攻撃者がこれを使用して xss と同様の攻撃を挿入し、document.cookie値を取得できるためです。
さらに、1 つのリクエストがセッション ID とともに送信された場合、攻撃者は値を取得して、あなたとして認証することができます。
于 2010-11-11T00:27:15.887 に答える