据我了解,如果用户使用不带TLS加密层的纯HTTP,那么任何“在线监听”的人都可以看到用户的会话cookie并窃取它。那么这是否意味着如果网站未实现基于TLS的HTTP,就不可能防范会话劫持吗?这是否意味着https之前的所有网站都无法防范会话劫持?
方案可能看起来像这样。
1。一个好人登录他们的帐户
GET / HTTP/1.1
Host: onlinecommunity.com
Cookie: PHPSESSID=f5avra_=AKMEHO_ga=GA1.2.93f54422f2ac010
2。侦听“在线”的坏人看到了简单的HTTP请求]]
3。坏人发送了相同的请求
GET / HTTP/1.1 Host: onlinecommunity.com Cookie: PHPSESSID=f5avra_=AKMEHO_ga=GA1.2.93f54422f2ac010
4。现在,坏人看到了好人的个人资料!
人们如何在HTTPS之前阻止SESSION劫持?
据我了解,如果用户使用不带TLS加密层的纯HTTP,那么任何“在线监听”的人都可以看到用户的会话cookie并窃取它。所以这是否意味着它是...
我想我找到了部分问题的答案,所以我在这里与其他人分享。