Ho una domanda sulle sessioni implementate tramite i cookie. Ho appena iniziato a conoscere la sicurezza e mi scuso se questa domanda si presenta come qualcosa di elementare.
Diciamo che sto usando HTTPS, quindi tutti i dati dei cookie sono crittografati e solo il server può decrittografarli con la sua chiave privata. Ma questo non impedisce a qualcuno di annusare il mio traffico e di vedere esattamente la stessa stringa nelle intestazioni di ogni richiesta. Quindi qualcuno che sniffa il traffico può capire che questa stringa costante in ogni intestazione di richiesta può essere un cookie di sessione. Se l'utente malintenzionato tenta di modificare qualsiasi carattere all'interno del corpo o del cookie della richiesta, verrà visualizzato come indesiderata sul server durante la decrittografia. Tuttavia, anche se è crittografato, l'utente malintenzionato può inviare nuovamente la richiesta ed eseguire attacchi di riproduzione, giusto?
Ho ragione nel dire che SSL / TLS impedisce la manomissione dei cookie, ma in realtà non impedisce il furto e / o la riproduzione?