一部のサイト(Gmailなど)では、ユーザーがhttpsを介して認証し、サイトの主な用途として安全でないCookieを使用してhttpに切り替えることができます。
どうすればセッションにhttpアクセスできるのに、これは安全ですか?それとも安全ではないので、Gmailがhttpsを使用してセッション全体を保護するオプションを提供するのはこのためですか?
httpを介して認証されたコンテンツへのアクセスを許可しながら、これがどのように機能し、セッションハイジャック攻撃を回避するかの例を挙げてください。パフォーマンス上の理由からサイト全体をhttpsとして使用する必要がないように、安全であればこのようなスキームを実装できるようにしたいと思います。
パスワードが平文で送信されない限り、安全です。HTTP モードで GMail セッション Cookie を傍受して悪用することは可能です (実際に行われています)。
セッションの乗っ取りを避けるには、HTTPS モードを維持する必要があります (GMail が現在提供していると思います)。
これはプレーン HTTP よりもほんの少しだけ安全です。ログイン名/パスワードはプレーンテキストで送信されません。それ以外は、通常の HTTP Cookie ベースのセッションとまったく同じように機能します (それがそのためです)。したがって、すべてのセッション ハイジャックの問題が適用されます。
それは実際には不可能であり、安全ではありません。そのため、「安全な Cookie」を取得しました。ユーザー名/パスワードが公開されないため、受動的なスニッフィング攻撃に対しては有効ですが、セッション ハイジャックは依然として可能です。
このSSL 実装のセキュリティに関する FAQペーパーもご覧ください。