Come fa un browser a gestire sessioni sicure e memorizzare le chiavi di sessione?

3

Sono interessato a come un browser gestisce sessioni sicure. A quanto ho capito, questo è lo scenario quando accedi ad un account google:

1) Browser (B) e google Server (S) eseguono un handshake per creare una sessione protetta crittografando il traffico http utilizzando TLS o SSL.

2) L'utente (U) inserisce i dettagli di accesso

3) U è autenticato

4) U apre una scheda su youtube e viene fornita con un'opzione per accedere utilizzando il proprio account google.

5) U utilizza il proprio account google, ma non è obbligato a inserire alcun dettaglio in quanto il browser ha ancora una sessione sicura con il proprio account google.

La mia domanda è: come vengono eseguite le fasi 4-5 rispetto al browser, come fa la pagina web come YouTube a raccogliere le password e i dettagli della sessione da inviare al server di youtube? Come memorizza e gestisce il browser?

Ho familiarità con il funzionamento di protocolli come l'identità sso e federata, ma qui mi interessa scrivere un'app / pagina web in grado di raccogliere queste informazioni dal browser.

    
posta user1658296 14.10.2014 - 13:52
fonte

2 risposte

1

I dettagli della sessione sicura per sito Web sono memorizzati nei cookie locali impostati da una risposta e inviati al server in richieste future.

Per esempio tra domini, come hai descritto con youtube (e un commento descritto), il metodo standard è OAUTH o OAUTH2. È lo stesso meccanismo che puoi permettere ad altri siti web di accedere ai tuoi dettagli su Facebook o Twitter.

Tutto ciò si manifesta come una serie di richieste con parametri e risposte che reindirizzano verso altri target.

OAUTH ha alcuni flussi "impliciti" che possono consentire l'accesso automatico tra siti Web senza che l'utente lo approvi esplicitamente.

Puoi passare in modo interattivo attraverso alcune richieste di esempio qui: link

    
risposta data 09.12.2014 - 01:33
fonte
-1

Fondamentale per qualsiasi cosa, l'uso di un token / coookie è la ragione per cui il meccanismo di autenticazione funziona. La modalità con cui questo cookie viene verificato da una terza parte è la salsa magica. È sorprendentemente divertente come tutti continuino a cercare di rompere il modello client / server di Web 1.0s per includere l'intervento di terze parti.

    
risposta data 09.12.2014 - 02:46
fonte

Leggi altre domande sui tag