it-swarm-eu.dev

Jak mohu zkontrolovat, že moje soubory cookie jsou zasílány pouze prostřednictvím šifrovaných https a nikoli http?

Přečetl jsem blogový příspěvek GitHub se přesune na SSL, ale zůstává Firesheepable , který tvrdil, že soubory cookie mohou být zasílány nešifrované přes http, i když web používá pouze https. Píšou, že soubor cookie by měl být označen „zabezpečeným příznakem“, ale nevím, jak tento příznak vypadá.

Jak mohu zkontrolovat, že moje soubory cookie jsou zasílány pouze prostřednictvím šifrovaného protokolu https a nikoli prostřednictvím nezašifrovaného protokolu http na mém webu, který používá pouze protokol https?

45
Jonas

Zabezpečený příznak cookies vypadá takto:

zajistit;

A je to.
Toto by se mělo objevit na konci záhlaví Http:

Set-Cookie: mycookie = somevalue; cesta =/securesite /; Platnost vyprší = 12/12/12; zajistit; httpOnly;

Chcete-li to zkontrolovat, jednoduše připojte libovolný proxy nebo sniffer (používám vynikající Fiddler ) a sledujte ...

* Bonus: Také jsem tam hodil atribut httpOnly, chrání před přístupem k souborům cookie z prostoru Javascript, např. přes XSS.

48
AviD

Můžete to zkontrolovat pomocí nástroje, jako je Firebug (rozšíření pro Firefox: http://getfirebug.com/ ). Soubor cookie se zobrazí jako „bezpečný“.

Pokud jste v prohlížeči Firefox, můžete si být jisti v okně „Odebrat jednotlivé soubory cookie“.

Z hlediska vývoje je „bezpečný“ cookie stejný jako běžný, ale obsahuje v něm další parametr. např.

SessionId=blah; path=/; secure; HttpOnly

Váš vývojový rámec s snadnou podporou tohoto snadného přidání - dejte nám vědět, jakou platformu používáte, pokud potřebujete pomoc.

I když jste tam, navrhl bych také přidat příznak HttpOnly, pokud nemanipulujete s cookies v Javascriptu, poskytne cookies další ochranu před některými útoky XSS.

19
KirkJ

Můžete také použít plugin Google chrome pro dosažení tohoto velmi dobrý je Advance REST Klient

Ukázkový výstup vypadá takto:

Connection: keep-alive
Strict-Transport-Security: max-age=31536000
Content-Type: application/json
Content-Length: 104
X-Content-Type-Options: nosniff
Server: WEBrick/1.3.1 (Ruby/2.0.0/2015-12-16)
Date: Thu, 25 Aug 2016 07:15:57 GMT
Set-Cookie: your.cookie.name=some-hash-uuid-here; domain=your-backend-hostname.com; path=/; expires=Sat, 24 Sep 2016 07:15:57 -0000; HttpOnly; secure
Via: 1.1 vegur

Jak vidíte na konci hodnoty atributu „ Set-Cookie “, uvidíte zabezpečené slovo „ ', jak několikrát komentoval předchozí odpovědi, ale také si všimněte, jak existuje atribut nazvaný' Strict-Transport-Security “, které je třeba zmínit.

3
d1jhoni1b