Question

Сеансы ColdFusion поддерживаются комбинацией значений CFID, CFTOKEN и jsessionid.При первом обращении к странице cfm эти значения устанавливаются, таким образом, создавая СЕССИЮ.

Мой вопрос: если СЕССИЯ создается по HTTP, а затем щелкает ссылку, чтобы перейти на страницу входа в систему по протоколу HTTPS,эти значения токена SESSION скомпрометированы, потому что они были созданы под http (то есть они были переданы в виде открытого текста как часть запроса).

Я предполагаю, что кто-то, кто ловко понюхает публичный маршрутизатор, может получить эти значения, а затемподделать сессию с тех пор.Я знаю, что это определенно редкое явление, но, тем не менее, вызывает беспокойство.

Dan Short · Answer 1 · 03 августа 2011

Да, ваши куки будут уязвимы для перехвата и перехвата сеанса, если вы передадите их по незащищенному каналу. В Википедии есть несколько хороших механизмов предотвращения , перечисленных на их странице Session Hijacking.Вероятно, проще всего сделать так, как сказал invertedSpear, и просто восстановить сеанс после успешного входа в систему и после входа в систему оставаться на HTTPS.

В ColdFusion мне нужно восстанавливать токены сеанса после переключения с http на https?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

В ColdFusion мне нужно восстанавливать токены сеанса после переключения с http на https?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы