说“每次用户登录网站并且没有重定向到SSL / TLS / HTTPS连接时,会话cookie是否容易受到攻击”这是真的吗?
保护Facebook凭据的最佳解决方案是什么?它是如何运作的?
有没有办法进行安全会话而不有SSL / TLS?换句话说,有没有办法让一台机器上的cookie不能在另一台机器上重放?
最后一个问题很重要的原因是Google AdSense不支持SSL / TLS,因此会强制设计人员公开所有Cookie。这反过来会影响每个依赖AdSense的网站
答案 0 :(得分:3)
问题是Cookie,如果您没有SSL / TLS,则在网络上发送明确信息。
任何收听TCP / IP流量的人都可以读取未加密的数据并可以读取您的cookie。
当你拥有它们时,你可以在自己的计算机上复制它,它会起作用......
您需要SSL / TLS!
答案 1 :(得分:0)
当您以开放方式传输数据(未加密)时,没有办法保护您的信息,特别是不使用cookie,这是一种众所周知且广泛使用的协议,用于存储不敏感的用户信息。您可以尝试一些技巧和黑客来断言,只有发布cookie的人才能使用它,但这不是Cookie的设计目的。 COOKIES不是安全功能!
如果您想要隐私,请使用加密。就这么简单。 SSL证书很便宜(每年低至10美元)。如果要求安全和隐私,则没有理由不使用SSL。
答案 2 :(得分:-3)
对于您自己的网站,您可以将Cookie设计为更安全:http://jaspan.com/improved_persistent_login_cookie_best_practice
但是因为Facebook没有这样做,所以唯一的选择是使用SSL。