-
È possibile rubare i cookie tramite MITM sul sito " HTTPS " se i cookie mancano "Secure" Flag?
-
È possibile rubare i cookie tramite MITM sul sito " HTTP " se i cookie hanno "Secure" Flag?
Is it possible to steal cookies through MITM on 'HTTPS' site if the cookies are missing 'Secure' Flag?
Se il client esegue una richiesta HTTP, il browser invia i cookie tramite HTTP al server e l'utente malintenzionato può leggere il cookie. Un aggressore man-in-the-middle tipicamente può causare una richiesta HTTP modificando qualsiasi pagina HTTP. Ad esempio, se navighi su qualsiasi sito HTTP puoi aggiungere <img src="http://yourbank.com/">
checauseràunarichiestainchiaroayourbank.com,conicookie.
StrictTransportSecurity(HSTS)proteggedaquesto,perchéobbligalaconnessioneadesseresuHTTPS.
IsitpossibletostealcookiesthroughMITMon'HTTP'siteifthecookieshave'Secure'Flag?
No,perchéicookienonvengonoinviatisuHTTPinchiarosehannoilflagdisicurezza.Tuttavia,potrebbeancoraesserepossibileimpostareicookie.Lasovrascritturadeicookiesicuriesistenti
Leggi altre domande sui tag cookies tls man-in-the-middle