Cookie-файлы HTTPS-сессии и пост-безопасность с PHP

Question

Я использую https с php и у меня есть несколько вопросов безопасности:

+ Я видел эту ссылку:

«безопасный» параметр в session_set_cookie_params

Означает ли это, что хотя флаг безопасности установлен с cookie, он только позволяет клиенту передавать его по адресу https? Если файл cookie содержит идентификатор_сессии, следует ли зашифровать его перед отправкой с сервера, а затем расшифровать при получении?

+ Когда я вхожу в адрес https со страницы https, firefox показывает пароль в виде простого текста в данных POST. Это угроза безопасности? Также можно ли разместить форму на обычной http-странице без угрозы безопасности?

ОБНОВЛЕНИЕ: я пытаюсь предотвратить угон сеанса. Должен ли я просто не отправлять куки, содержащие session_ids, по http? Это скрипт kohana, над которым я работаю, и он, похоже, запускает сессию, даже если не вошел в систему. Я думаю о проверке https перед session_start ();

Answer 1

Вы можете безопасно отправлять данные из формы, доступ к которой осуществляется через HTTP, при условии, что действие POST отправляется на URL-адрес HTTPS.

Размещение формы на странице HTTPS является наилучшей практикой, поскольку вы считаете, что дляпользователь, потому что люди могут скептически относиться к отправке защищенной информации в форме, если страница, отображающая форму, не показывает, что они подключены через HTTPS.