SSL握手后,会话密钥存储在客户端的哪个位置?

时间:2016-02-24 18:57:25

标签: security session ssl cookies

我对通过cookie /会话进行安全连接的想法不熟悉所以我正在做一些研究,我遇到了SSL握手。我理解:

  1. 浏览器向服务器发送初始请求
  2. 服务器将证书(包含公钥n)发送到浏览器
  3. 浏览器选择随机x(我不知道如何完成),并计算(x ^ 65537 mod n),并将此计算值发送回服务器
  4. 服务器使用两个私有(通常是主要)密钥
    5. 解密此计算值
  5. 服务器和客户端现在有一个"会话密钥"只有双方知道的。他们现在使用此会话密钥加密属于此会话的所有邮件。

    6. 我发现了一个问题Here,讨论了这个SSL对称密钥(会话密钥)存储在服务器端的位置。

    然而,在客户端,我尝试打开开发人员控制台并寻找它,但我无法找到它。这很有道理,显然我不应该轻易找到它。该会话密钥存储在客户端中的哪个位置?在XSS攻击期间,我的会话密钥是否可能被盗?

1 个答案:

答案 0 :(得分:0)

浏览器会将会话密钥存储在内存中。

他们在任何XSS攻击中都无法检索,因为它们没有存储在DOM中。

任何XSS攻击都可能因为他们的混乱而不需要会话密钥,因为这样的攻击已经可以访问它需要的所有客户端,除了HttpOnly cookie。

相关问题
最新问题