Gmail和Facebook个人资料专用的HTTPS:容易受到攻击吗?
[英]Gmail and Facebook Profile-specific HTTPS: Vulnerable?
问题描述
我开始想知道一些事情:
鉴于Gmail和Facebook基于配置文件使用HTTPS,并且默认情况下不使用HTTPS,与它们的连接是否容易受到攻击?
我对所涉及的协议一点都不熟悉,但是我的推理是这样的:浏览器需要弄清楚是否使用HTTPS,默认情况下不需要。 这意味着,每当我将页面指向Facebook.com时,我的浏览器都会通过未加密的通道将一些信息(也许是会话ID?)发送到Facebook, 然后再确定是否请求HTTPS。 (如果我记错了,请纠正我,但我不认为它使用安全连接发送此消息。)
这是否意味着任何人都可以在不安全的连接中间劫持会话ID? 这是潜在的漏洞吗?
2 个解决方案
解决方案1
3 已采纳 2011-02-19 05:06:52
使用Secure标志的Cookie仅通过HTTPS发送。 因此,可以始终将HTTP重定向到HTTPS,并避免在重定向之前通过HTTP发送会话Cookie,但我不会指望它,因此我永远不会使用http://mail.google.com/-仅使用https与Gmail连接: //mail.google.com/
实际上,我刚刚检查过,Gmail似乎设置了6个cookie-其中只有3个是安全的。 当您访问http://mail.google.com/mail/时,浏览器实际上以明文形式发送您的电子邮件地址,以供所有人查看,然后再重定向到HTTPS。
至于Facebook的安全性...我建议观看Samy Kamkar 在Defcon (较短)和Blackhat (较长)上的“我如何认识你的女朋友”的演讲。
更新以避免评论中的混乱: Samy Kamkar解释了一种猜测 Facebook会话cookie的方法,因此HTTPS在这里完全无关紧要。 关键是您只能使用HTTPS,并且仍然容易受到会话劫持的影响。
解决方案2
2 2011-02-19 05:37:34
这两个都是安全的,并且不公开会话ID
- 用户浏览到http://www.facebook.com
- 用户输入提交到https://www.facebook.com/的用户名和密码...
facebook服务器已从步骤2安全地接收到用户名/密码,请验证用户并检查数据库以查看该用户是否仅请求SSL流量。 如果用户选择了仅SSL流量,facebook将在cookie中设置包含用户会话ID的安全位,仅允许通过安全连接发送它。 facebook返回给该用户的所有链接均为https://链接,因此每个连接均被加密。
在此过程中,没有任何地方公开会话ID
使用NodeJS HTTP服务器对HTTPS端点的POST请求是否容易受到攻击?
[英]Is a POST request to an HTTPS endpoint using a NodeJS HTTP server vulnerable?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.