确保HTTP请求的一部分?
-
08-10-2019 - |
题
说他们的会话ID如何确保HTTP请求的一部分?我知道您可以使用HTTP,但是您的服务器必须解密所有请求。仅加密请求的所需部分是理想的吗?
是否有允许您或通知您如何执行此操作的框架或资源?
解决方案
HTTPS是使用的正确工具。解密数据包的计算负载非常低。 Google今年早些时候默认情况下将Google更改为HTTPS,他们报告说,SSL加密/解密的服务器上的CPU负载约为1%。
如果您仅加密流的一部分,那么您仍然存在中间人和重播攻击的问题。 SSL是防止这些的唯一方法。会话ID是否加密并不重要。如果中间的人可以捕获它,他可以以加密形式重复使用它,并且服务器不知道差异。
这是博客文章 关于Google的经验,因为Gmail切换到100%SSL。
其他提示
HTTPS全部或全部。如果并非所有页面上的元素都使用HTTPS固定,则用户通常会在左上角获得“断锁”。这是因为攻击者可以使用它来注入类似于XSS的攻击并获得 document.cookie
价值。
进一步,如果发送1个请求,则使用会话ID,则攻击者可以获取值并作为您进行身份验证。
不隶属于 StackOverflow