Asegurar partes de una petición HTTP?
https://stackoverflow.com/questions/4150374
-
08-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cómo hace uno para asegurar las piezas de una petición HTTP, dicen que su ID de sesión? Sé que usted puede utilizar HTTPS, pero luego los servidores deben descifrar la totalidad de la solicitud. ¿No sería ideal para cifrar únicamente las partes requeridas de una solicitud?
¿Hay marcos o recursos que permiten que usted o le informan de cómo hacer esto?
Solución
HTTPS es la herramienta correcta para su uso. La carga de cálculo de descifrar los paquetes es muy baja. Google cambió a HTTPS por defecto para el conjunto de GMail a principios de este año, y que informan de que la carga de la CPU en sus servidores para el cifrado SSL / descifrado es de alrededor de 1%.
Si sólo una parte de la corriente cifrar entonces usted todavía tiene el problema del hombre-en-el-medio y ataques de repetición. SSL es la única manera de prevenir estos. Realmente no importa si el identificador de sesión está cifrada. Si un the-middle man-in-puede capturarlo, él puede volver a utilizarlo en forma está encriptado, y el servidor no notaría la diferencia.
Aquí hay una entrada en el blog sobre la experiencia de Google desde el GMail cambie a 100% de SSL.
Otros consejos
HTTPS es todo o nada. Si no todos los elementos de una página están aseguradas con HTTPS a continuación, los usuarios obtendrán por lo general obtener una "cerradura rota" en la esquina superior izquierda. Esto es porque un atacante podría usar esto para inyectar un ataque similar a XSS y obtener el valor document.cookie.
Además, si más de 1 solicitud se envía con un identificador de sesión a continuación, un atacante puede obtener el valor y autenticar que usted.
