我注意到很多非常大的网站让您使用 HTTPS 登录,然后在我登录后立即切换回 HTTP(myfitnesspal.com、pluralsight.com)。如果我使用数据包嗅探器,我可以看到会话 id cookie 并验证请求是通过 HTTP 发送的。这是否意味着如果有人在听,他们很容易劫持我的会话,或者我还缺少什么?此外,在类似的说明中,除了服务器上的额外计算之外,我是否有任何理由希望通过 HTTPS 使用 HTTP?
【问题讨论】:
这取决于会话的处理方式。服务器可能正在处理两个会话。一个有担保的,一个没有担保的。
当您登录这些网站时,他们可能会设置两个会话 cookie,一个用于浏览,另一个用于安全访问管理员/帐户管理/结帐区域。第二个 cookie 将被标记为“SECURE”,并且只能通过 TLS/SSL 连接发送。正常浏览等时,仅使用不安全的连接,并且仅用于维护会话中的状态,但是当您进行帐户管理、结帐等时,出于这些目的,您将切换回安全会话。如果距离您上次安全访问的时间太长,您可能会被要求重新进行身份验证。
因此,虽然您的浏览会话有可能被劫持,但您的帐户不太可能因此受到威胁(如果实施得当)。
【讨论】:
好吧,如果会话 cookie 标记不安全,或者例如,如果您看到转到 wireshark 并在您的 LAN 上搜索 HTTP,您可以查看示例的流量:pluralsight,您只需按 Follow TCP STREAM在您与该站点的 HTTP 连接上,在登录后您会看到它的 http 数据流,只需收集 sessionid 并获取greasemonkey(firefox 工具)+ 会话劫持:然后 ctrl+v 您收集的 sessionid,您将在那里亲眼看到是否是漏洞。
【讨论】: