Protezione parti di una richiesta HTTP?
https://stackoverflow.com/questions/4150374
-
08-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Come si fa a garantire le parti di una richiesta HTTP, dicono che il loro ID di sessione? So che è possibile utilizzare HTTPS, ma poi i server devo decifrare tutta la richiesta. Non sarebbe l'ideale per crittografare solo le parti necessarie di una richiesta?
Ci sono quadri o le risorse che tale consentono o informarti come fare questo?
Soluzione
HTTPS è lo strumento corretto da utilizzare. Il carico computazionale di decifrare i pacchetti è molto bassa. Google ha cambiato a HTTPS per impostazione predefinita per l'intera GMail, all'inizio di quest'anno, e segnalano che il carico della CPU sui loro server per la crittografia SSL / decrittografia è di circa 1%.
Se si parte solo cifrare del torrente, allora avete ancora il problema di man-in-the-middle e riprodurre gli attacchi. SSL è l'unico modo per prevenire questi. Non importa se l'ID di sessione è crittografata. Se un man-in-the-middle può catturare, egli può riutilizzare in forma è criptata, e il server non saprebbe la differenza.
Ecco un post sul blog l'esperienza di Google dal momento che il GMail interruttore al 100% SSL.
Altri suggerimenti
HTTPS è tutto o niente. Se non tutti gli elementi di una pagina sono fissati con HTTPS, gli utenti avranno solitamente ottenere una "serratura rotta" nell'angolo in alto a sinistra. Questo perché un utente malintenzionato potrebbe utilizzare questa per iniettare un attacco simile a xss e ottenere il valore document.cookie.
ulteriormente più se 1 richiesta viene inviata con una sessione id quindi un utente malintenzionato può ottenere il valore e Autentica come te.
