HTTPリクエストの一部を保護しますか？

Question

セッションIDは、HTTPリクエストの一部をどのように確保するのですか？ HTTPSを使用できることは知っていますが、サーバーはすべてのリクエストを復号化する必要があります。リクエストの必要な部分のみを暗号化することは理想的ではないでしょうか？

これを可能にするか、これを行う方法を知らせるフレームワークやリソースはありますか？

Answer 1

HTTPSは、使用する正しいツールです。パケットを復号化する計算負荷は非常に低いです。 Googleは今年初めにGmail全体のデフォルトでHTTPSに変更され、SSL暗号化/復号化のサーバーのCPU負荷は約1％であると報告しています。

ストリームの一部のみを暗号化する場合、中間の攻撃とリプレイ攻撃の問題があります。 SSLは、これらを防ぐ唯一の方法です。セッションIDが暗号化されているかどうかは、実際には問題ではありません。中間者がそれをキャプチャできる場合、彼はそれを暗号化されたフォームで再利用でき、サーバーは違いを知りません。

これがブログ投稿です Gmailが100％SSLに切り替わる以来のGoogleの経験について。

Answer 2

httpsはすべてまたは何もありません。ページ上のすべての要素がHTTPSで保護されているわけではない場合、ユーザーは通常、左上隅に「壊れたロック」を取得します。これは、攻撃者がこれを使用してXSSに似た攻撃を注入し、 document.cookie 価値。

さらに、セッションIDで1リクエストが送信された場合、攻撃者は値を取得し、あなたのように認証できます。