[英]Gmail and Facebook Profile-specific HTTPS: Vulnerable?
我開始想知道一些事情:
鑒於Gmail和Facebook基於配置文件使用HTTPS,並且默認情況下不使用HTTPS,與它們的連接是否容易受到攻擊?
我對所涉及的協議一點都不熟悉,但是我的推理是這樣的:瀏覽器需要弄清楚是否使用HTTPS,默認情況下不需要。 這意味着,每當我將頁面指向Facebook.com時,我的瀏覽器都會通過未加密的通道將一些信息(也許是會話ID?)發送到Facebook, 然后再確定是否請求HTTPS。 (如果我記錯了,請糾正我,但我不認為它使用安全連接發送此消息。)
這是否意味着任何人都可以在不安全的連接中間劫持會話ID? 這是潛在的漏洞嗎?
使用Secure標志的Cookie僅通過HTTPS發送。 因此,可以始終將HTTP重定向到HTTPS,並避免在重定向之前通過HTTP發送會話Cookie,但我不會指望它,因此我永遠不會使用http://mail.google.com/-僅使用https與Gmail連接: //mail.google.com/
實際上,我剛剛檢查過,Gmail似乎設置了6個cookie-其中只有3個是安全的。 當您訪問http://mail.google.com/mail/時,瀏覽器實際上以明文形式發送您的電子郵件地址,以供所有人查看,然后再重定向到HTTPS。
至於Facebook的安全性...我建議觀看Samy Kamkar 在Defcon (較短)和Blackhat (較長)上的“我如何認識你的女朋友”的演講。
更新以避免評論中的混亂: Samy Kamkar解釋了一種猜測 Facebook會話cookie的方法,因此HTTPS在這里完全無關緊要。 關鍵是您只能使用HTTPS,並且仍然容易受到會話劫持的影響。
這兩個都是安全的,並且不公開會話ID
facebook服務器已從步驟2安全地接收到用戶名/密碼,請驗證用戶並檢查數據庫以查看該用戶是否僅請求SSL流量。 如果用戶選擇了僅SSL流量,facebook將在cookie中設置包含用戶會話ID的安全位,僅允許通過安全連接發送它。 facebook返回給該用戶的所有鏈接均為https://鏈接,因此每個連接均被加密。
在此過程中,沒有任何地方公開會話ID
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.