Cookie rubare

0
  1. È possibile rubare i cookie tramite MITM sul sito " HTTPS " se i cookie mancano "Secure" Flag?

  2. È possibile rubare i cookie tramite MITM sul sito " HTTP " se i cookie hanno "Secure" Flag?

posta Anas 22.06.2018 - 15:09
fonte

1 risposta

2

Is it possible to steal cookies through MITM on 'HTTPS' site if the cookies are missing 'Secure' Flag?

Se il client esegue una richiesta HTTP, il browser invia i cookie tramite HTTP al server e l'utente malintenzionato può leggere il cookie. Un aggressore man-in-the-middle tipicamente può causare una richiesta HTTP modificando qualsiasi pagina HTTP. Ad esempio, se navighi su qualsiasi sito HTTP puoi aggiungere <img src="http://yourbank.com/">checauseràunarichiestainchiaroayourbank.com,conicookie.

StrictTransportSecurity(HSTS)proteggedaquesto,perchéobbligalaconnessioneadesseresuHTTPS.

IsitpossibletostealcookiesthroughMITMon'HTTP'siteifthecookieshave'Secure'Flag?

No,perchéicookienonvengonoinviatisuHTTPinchiarosehannoilflagdisicurezza.Tuttavia,potrebbeancoraesserepossibileimpostareicookie.Lasovrascritturadeicookiesicuriesistenti non è più possibile , ma è ancora possibile creare un nuovo cookie . I prefissi dei cookie impediscono questo.

    
risposta data 22.06.2018 - 16:20
fonte

Leggi altre domande sui tag