Sécurisation des parties d'une requête HTTP?

Question

Comment devient-on sur la sécurisation des pièces d'une requête HTTP, déclarent que leur session ID? Je sais que vous pouvez utiliser HTTPS, mais vos serveurs doivent décrypter toute la demande. Ne serait-il pas idéal pour chiffrer uniquement les éléments nécessaires d'une demande?

Y a-t-il des cadres ou des ressources sur ce qui vous permettent ou vous expliquer comment faire?

Answer 1

HTTPS est l'outil approprié à utiliser. La charge de calcul de déchiffrage des paquets est très faible. Google a changé HTTPS par défaut pour l'ensemble de GMail plus tôt cette année, et ils déclarent que la charge CPU sur leurs serveurs pour le chiffrement / déchiffrement SSL est d'environ 1%.

Si vous seulement une partie du flux Crypter alors vous avez encore le problème de l'homme-in-the-milieu et rejouer les attaques. SSL est la seule façon d'éviter que ceux-ci. Il n'a pas vraiment d'importance si l'ID de session est cryptée. Si un homme en le milieu peut capturer, il peut le réutiliser dans sa forme cryptée, et le serveur ne connaîtrait pas la différence.

Voici un blog sur l'expérience de Google depuis le GMail passer à 100% SSL.

Answer 2

HTTPS est tout ou rien. Si pas tous les éléments d'une page sont sécurisées avec HTTPS alors les utilisateurs s'obtiennent habituellement dans le coin supérieur gauche d'une « serrure cassée ». En effet, un attaquant pourrait utiliser pour injecter une attaque similaire à XSS et obtenir la valeur document.cookie.

De plus, si 1 demande est envoyée avec un identifiant de session alors un attaquant peut obtenir la valeur et Authentifier comme vous.