我注意到很多非常大的网站让您使用 HTTPS 登录,然后在我登录后立即切换回 HTTP(myfitnesspal.com、pluralsight.com)。如果我使用数据包嗅探器,我可以看到 session ID cookie 并验证请求是通过 HTTP 发送的。这是否意味着有人可以很容易地劫持我的 session ,如果他们正在听,或者我还缺少其他东西吗?此外,类似地,除了服务器上的额外计算之外,我是否有任何理由希望通过 HTTPS 使用 HTTP?
最佳答案
这取决于 session 的处理方式。服务器可能正在处理两个 session 。一种有担保,一种无担保。
当您登录这些网站时,他们可能会设置两个 session cookie,一个用于浏览,一个用于安全访问管理/帐户管理/结帐区域。第二个 cookie 将被标记为“安全”并且仅通过 TLS/SSL 连接发送。当正常浏览等时,仅使用不安全的连接,并且仅用于维护 session 中的状态,但是当您进行帐户管理、结帐等时,出于这些目的,您将切换回安全 session 。如果自上次安全访问以来已经太久,您可能会被要求重新进行身份验证。
因此,虽然您的浏览 session 有可能被劫持,但您的帐户不太可能(如果实现得当)因此受到损害。
关于security - 通过 HTTP 的 session 劫持,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20149980/