Можно ли создать файл cookie в HTTPS и использовать его в HTTP, если безопасное значение равно false?

Question

Можно ли создать файл cookie в HTTPS и использовать в HTTP, если для параметра безопасности cookie установлено значение false?У меня есть веб-сайт, на котором мне требуется только одна страница в HTTPS, например, логин или страница со специальными функциями.

Я полагаю, что файл cookie будет (безопасным, поскольку он передается по протоколу SSL), хотя и будет отправлен обратно без хэша, когда он находится на странице без SSL, можно ли предположить, что это так?

Answer 1

Короче говоря: да.

Установка файла cookie для ответа, защищенного с помощью SSL, но без указания флага secure приведет к тому, что файл cookie будет вести себя не иначе, как если бы он был передан по соединению без SSL.

Answer 2

Cookie может использоваться как по HTTP, так и по HTTPS, если только он не помечен как безопасный.Если он помечен как защищенный, браузер будет отправлять его только в том случае, если текущий запрос выполняется по протоколу HTTPS.

Если ваш текущий запрос является HTTP, тогда cookie будет отправляться «в открытом виде» и может быть перехваченчеловек посередине или кто-то нюхает трафик.Google "firesheep" для примера, почему это может быть плохо.