it-swarm-tr.com

Çerezlerimin http değil yalnızca şifreli https üzerinden gönderildiğini nasıl kontrol edebilirim?

Bir blog gönderisini okudum GitHub SSL'ye taşınır, ancak Firesheepable kalır , site yalnızca https kullanıyor olsa bile çerezlerin http üzerinden şifrelenmeden gönderilebileceğini iddia etti. Bir çerezin "güvenli bayrak" ile işaretlenmesi gerektiğini yazıyorlar, ancak bu bayrağın nasıl göründüğünü bilmiyorum.

Sitemde yalnızca https kullanan çerezlerimin yalnızca şifrelenmiş https üzerinden gönderildiğini ve şifrelenmemiş http üzerinden gönderilmediğini nasıl kontrol edebilirim?

45
Jonas

Çerez güvenli bayrağı şöyle görünür:

güvenli;

Bu kadar.
Bu, Http başlığının sonunda görünmelidir:

Set-Cookie: çerezim = somevalue; yol =/SecureSite /; = 12/12/2010'dur; güvenli; httpOnly;

Tabii ki, kontrol etmek için, herhangi bir proxy veya sniffer takın (mükemmel kullanıyorum Fiddler ) ve izle ...

* Bonus: Ben de httpOnly özniteliğini oraya attım, Javascript alanından çerez erişimine karşı korur, ör. XSS aracılığıyla.

48
AviD

Firebug (Firefox için bir uzantı: http://getfirebug.com/ ) gibi bir araç kullanarak kontrol edebilirsiniz. Çerez "güvenli" olarak görüntülenecektir.

Ayrıca Firefox'taysanız, emin olmak için 'Bireysel Çerezleri Kaldır' penceresine bakabilirsiniz.

Bir geliştirme açısından bakıldığında, 'güvenli' bir çerez normal olanla aynıdır, ancak içinde ekstra bir parametre vardır. Örneğin.

SessionId=blah; path=/; secure; HttpOnly

Bunu kolayca eklemeyi destekleyecek geliştirme çerçeveniz - yardıma ihtiyacınız olursa hangi platformu kullandığınızı bize bildirin.

Siz oradayken, Javascript'te çerezleri işlemiyorsanız HttpOnly bayrağını da eklemenizi öneririm, çerezlere bazı XSS ​​saldırılarına karşı ek koruma sağlar.

19
KirkJ

Ayrıca bunu başarmak için google chrome eklentisini de kullanabilirsiniz Advance REST Müşteri

Örnek bir çıktı şöyle görünür:

Connection: keep-alive
Strict-Transport-Security: max-age=31536000
Content-Type: application/json
Content-Length: 104
X-Content-Type-Options: nosniff
Server: WEBrick/1.3.1 (Ruby/2.0.0/2015-12-16)
Date: Thu, 25 Aug 2016 07:15:57 GMT
Set-Cookie: your.cookie.name=some-hash-uuid-here; domain=your-backend-hostname.com; path=/; expires=Sat, 24 Sep 2016 07:15:57 -0000; HttpOnly; secure
Via: 1.1 vegur

' Set-Cookie ' özelliğinin değerinin sonunda gördüğünüz gibi, Word'ü güvenli 'önceki yanıtlara birkaç kez yorum yaptı, ancak' Sıkı Taşıma-Güvenlik 'den bahsetmek önemlidir.

3
d1jhoni1b