加密的身份验证 cookie 如何防止会话劫持？答案

【问题标题】：How do encrypted authentication cookies prevent session hijacking?加密的身份验证 cookie 如何防止会话劫持？
【发布时间】：2019-02-19 00:01:21
【问题描述】：

假设一个 cookie 说 FB 的身份验证 cookie 被加密并发送给我。如果我使用诸如wireshark、Firesheep 之类的工具，那么我可以嗅探那个加密的cookie。我打开一个新浏览器并注入这个加密的cookie（使用greasemonkey和一些脚本），最终它会起作用。这里加密的目的是什么？

因为即使在加密之后，我也会在每次登录后在 Facebook 上单击某些内容时发送加密的 cookie，并且嗅探工具可以得到它。请解释一下??????

【问题讨论】：

我投票结束这个问题，因为它是关于网站安全的，但不包含编程问题。

标签： encryption cookies session-cookies

【解决方案1】：

大多数网站使用 cookie 来识别用户登录，是的，cookie 对您是可见的。但是每次您登录网站时，网站都会向您发送一个新的加密 cookie，您的旧/以前的 cookie 将无法正常工作。并且cookie有一个过期日期，cookie上的加密是为了停止用户计算cookie用于下次登录。如果用户可以拥有生成 cookie 字符串的公式，那么网站将没有安全性。干杯！顺便说一句，你应该明白这一点，做好事，不要做坏事，保持我们的互联网安全和整洁！谢谢！

【讨论】：

我不确定你是否完全了解我。让我解释一下.. 我登录到 facebook Fb 在我的机器上设置了一个加密的 cookie 然后对于我在 facebook 上所做的每次点击，这个 cookie 将被传输到 FB 服务器，并且仅由 SameOriginPolicy 传输到 FB。与我相同 n/w 的人可以使用嗅探器轻松获取此 cookie。所以我的意思是，如果他从浏览器中使用此 cookie，那么他将自动登录到 facebook。那么加密有什么意义呢？
您好，当您登录FB时，您使用的是HTTPS，它会加密您的浏览器内容和cookie，使其无法读取，其他人不容易通过嗅探看到您的cookie。但是，您是对的，如果他们可以捕获您所有的 cookie，那么他们就有可能在特定时间段内以您的身份登录。这就是为什么您不应该安装未经认证的 3 方浏览器插件的原因。 Http/https 是无状态的，cookie 是你的标识符，你应该保证它们的安全。