Je sais qu'un cookie avec secureindicateur ne sera pas envoyé via une connexion non chiffrée. Je me demande comment cela fonctionne en profondeur.
Qui est responsable de déterminer si le cookie sera envoyé ou non?
102
Je sais qu'un cookie avec secureindicateur ne sera pas envoyé via une connexion non chiffrée. Je me demande comment cela fonctionne en profondeur.
Qui est responsable de déterminer si le cookie sera envoyé ou non?
Le client définit ceci uniquement pour les connexions cryptées et ceci est défini dans la RFC 6265 :
L'attribut Secure limite la portée du cookie aux canaux «sécurisés» (où «sécurisé» est défini par l'agent utilisateur). Lorsqu'un cookie a l'attribut Secure, l'agent utilisateur inclura le cookie dans une requête HTTP uniquement si la requête est transmise sur un canal sécurisé (généralement HTTP sur Transport Layer Security (TLS) [RFC2818]).
Bien qu'apparemment utile pour protéger les cookies contre les attaquants actifs du réseau, l'attribut Secure protège uniquement la confidentialité du cookie. Un attaquant actif du réseau peut écraser les cookies sécurisés d'un canal non sécurisé, perturbant leur intégrité (voir la section 8.6 pour plus de détails).
Juste un autre mot sur le sujet:
Omettre
secureparce que votre site Webexample.comest entièrement https ne suffit pas.Si votre utilisateur atteint explicitement
http://example.com, il sera redirigé vershttps://example.commais c'est déjà trop tard; la première demande contenait le cookie.la source
secure?