我知道cookie和会话ID已加密,然后发送给客户端,以便中间人看不到cookie值。
我的问题是,假设我登录了https网站并离开计算机一段时间。然后我的一位朋友快速访问浏览器的开发者工具并获取cookie。他可以在以后使用该cookie破解我的帐户吗?
如果是,请如何开发网站,以便即使有人获得我的cookie值和会话ID,也无法破解我的帐户。
答案 0 :(得分:2)
如果您的“朋友”可以访问您的浏览器,他可以看到Cookie,并使用它们将您的会话窃取到您所连接的任何网站。
HTTPS仅保护您的计算机与网站之间的通信。计算机中的所有内容都以纯文本形式提供。
答案 1 :(得分:1)
HTTPS上的Cookie只有在secure flag设置HSTS或从security by obscurity域提供服务时才是安全的。
否则,Man-In-The-Middle可以拦截cookie。
假设您的网站是example.com,并且只能通过HTTPS提供,并在其上设置Cookie。 Bob,你的受害者通过一个不安全的网络通过普通的HTTP浏览foo.com。
The Man-In-The-Middle,Mallory,可以拦截对foo.com的请求并注入
<img src="http://example.com" />
然后她拦截了包含cookie的example.com的请求 - 现在Mallory将您的受害者的cookie发送到example.com,并且可以作为Bob登录,即使您只通过HTTPS收听。
这是因为同源策略在cookie方面不那么严格。
现在你所说的是鲍勃让他的机器登录,然后爱丽丝随后来偷他的会话。
您可以执行一些panopticlick fingerprint项操作,并检查其用户代理和HTTP protocol是否相同。这将阻止未确定的黑客。
此外,您可以验证他们的IP与他们登录的IP是否相同。这不会保护同一网络上的黑客,例如当Bob和Alice在同一办公室工作时,但是它会阻止Alice回家然后使用会话详细信息。还要注意使用共享IP的ISP(例如AOL)和可能改变客户端IP地址的ISP(例如3 / 4G提供商可以,或者当用户从移动接收切换到WiFi时)。