【发布时间】:2014-04-15 15:30:35
【问题描述】:
我们都知道通过明文传输用户名和密码是不好的,因为任何人都可以很容易地查看数据包,因此我们使用 HTTPS 来加密这些数据。
我注意到许多网站只对登录表单使用 HTTPS,而对所有其他页面(例如 StackOverflow)使用常规 HTTP。有人不能看到从登录表单返回的 cookie(如会话 cookie)并将其注入到他们自己的 Web 请求中吗?虽然它不会暴露用户名和密码,但他们似乎可以通过这样做来冒充其他用户。
假设我正在窥探我朋友的互联网连接。在我的朋友使用 HTTPS 进行身份验证后,服务器和我的朋友开始通过 HTTP 进行通信并以明文形式传输 cookie。是什么阻止我使用这个 cookie?
【问题讨论】: