Cookie rubare

Is it possible to steal cookies through MITM on 'HTTPS' site if the cookies are missing 'Secure' Flag?

Se il client esegue una richiesta HTTP, il browser invia i cookie tramite HTTP al server e l'utente malintenzionato può leggere il cookie. Un aggressore man-in-the-middle tipicamente può causare una richiesta HTTP modificando qualsiasi pagina HTTP. Ad esempio, se navighi su qualsiasi sito HTTP puoi aggiungere <img src="http://yourbank.com/">checauseràunarichiestainchiaroayourbank.com,conicookie.

StrictTransportSecurity(HSTS)proteggedaquesto,perchéobbligalaconnessioneadesseresuHTTPS.

IsitpossibletostealcookiesthroughMITMon'HTTP'siteifthecookieshave'Secure'Flag?

No,perchéicookienonvengonoinviatisuHTTPinchiarosehannoilflagdisicurezza.Tuttavia,potrebbeancoraesserepossibileimpostareicookie.Lasovrascritturadeicookiesicuriesistenti non è più possibile , ma è ancora possibile creare un nuovo cookie . I prefissi dei cookie impediscono questo.