Как работает безопасная аутентификация в веб-приложении

Question

Я понимаю, как работает ssl, поэтому браузер отправляет имя пользователя / пароль в зашифрованном виде.Но что будет дальше?

Получает ли клиент куки?Это безопасно?Как безопасно взаимодействует сервер-браузер, если единственной https-страницей является страница входа?

Я думаю, что если кто-то получает копию этого файла cookie, когда он отправляется, он может получить доступ к этой учетной записи, независимо от того, насколько зашифрован файл cookie.

На самом деле я хочу понять процесс от входа в систему доВыйдите из безопасного веб-приложения.

Сервер: Tomcat, Apache ... Платформа: java, php, ...

Спасибо

Answer 1

Если кто-то еще спотыкается об этом: я нашел эту статью в Википедии по Фиксация сессии и этот SO Вопрос очень полезный для ответа на этот вопрос, чем 90-минутный подкаст от GRC ( отмечено выше), что в основном относится к SSL / TLS.

Answer 2

Эпизод 195 подкаста о безопасности теперь подробно рассматривает эту тему.http://www.grc.com/securitynow.htm Вы можете либо отсканировать стенограмму (которую я бы порекомендовал сделать в первую очередь, чтобы узнать, отвечает ли она на ваши вопросы), либо прослушать весь эпизод.