我想知道是否有关于浏览器遵守三种Cookie规范的当前状态的调查或报告:Netscape’s original draft,RFC 2109和RFC 2965已废弃RFC 2109. / p>
我知道,由于它的年龄,Netscape的草案将得到大多数客户的支持。但有些人建议不再使用它,例如this tutorial on Apache’s HttpClient:
Netscape草案:此规范符合Netscape Communications发布的原始草案规范。除非绝对有必要与遗留代码兼容,否则应该避免使用。
那么其他规格怎么样?他们准备好了吗?
答案 0 :(得分:1)
共识似乎是他们还没有准备好使用它们。 Some of the reasons for that are mentioned here主要与浏览器合规性有关。
然而,在预感中,我怀疑你提出这个问题的动机可能与会话劫持问题有关,这个问题已被FireSheep等应用程序引起了人们的关注。
如果是这样的话,我偶然发现了一篇有趣的论文,提出了一个解决这个问题的方法,称为OTC的一次性cookie。这可能值得一读。它的标题是One-Time Cookies: Preventing Session Hijacking Attacks with Disposable Credentials,它来自乔治亚理工学院的4名博士生。
(如果Google文档链接在此处a direct link to the PDF不起作用。)
总之,它基本上得出结论:
虽然用HTTPS完全替换HTTP将提高Web的整体安全性,但对于某些Web应用程序来说,它可能是一个具有挑战性且复杂的项目。 。 。因此,在部署站点范围的HTTPS时,许多Web应用程序仍然容易受到攻击,这个过程可能需要数年时间。
...
通过依赖众所周知的加密构造(如哈希链),OTC创建了无法重复使用的一次性身份验证令牌,从而提供更强大的会话完整性。 。 。 OTC比HTTPS更有效,并且与当前基于cookie的机制具有大致相同的性能。
这是一个非常有趣的读物。我希望以某种方式帮助某人,
〜gMale
答案 1 :(得分:1)
最新的调查似乎是由Ka-Ping Yee in 2002撰写的,这在WWW /互联网的演变中被认为是古老的。好处是,它调查了3个操作系统中的12个浏览器,这可能会对他们如何调整cookie管理提供公平的见解。
Yee,Ka-Ping,“对Cookie的调查 管理功能和可用性 在Web浏览器中,“ http://zesty.ca/2002/priv/cookie-survey.pdf, 2002。
另一篇较近的文章,尽管不太相关,但是由Yue, Xie, and Wang in 2009(2010年出版)撰写。它对超过5000个网站的HTTP cookie管理进行了大规模的研究,使用的系统可以自动验证网站cookie的有用性,并代表用户设置cookie使用权限。
川越,谢梦君,海宁 王,“自动HTTP Cookie 管理系统,“期刊” 计算机网络(COMNET),54(13)pp。 2182--2198,2010。
答案 2 :(得分:0)
您可能想要检查
http://lists.w3.org/Archives/Public/www-tag/2011Mar/0021.html
指的是
http://www.ietf.org/id/draft-ietf-httpstate-cookie-23.txt
这是为了废弃RFC 2965。
"Document Quality
This document defines the HTTP Cookie and Set-Cookie HTTP
header fields as they are presently utilized on the Internet. As a
result, there are already many implementations of this specification."