Nell'handshake SSL, il server condivide il SessionId nel messaggio Server Hello e dal momento che non esiste ancora la crittografia, quindi chiunque può catturarlo?
È rischioso?
Nell'handshake SSL, il server condivide il SessionId nel messaggio Server Hello e dal momento che non esiste ancora la crittografia, quindi chiunque può catturarlo?
È rischioso?
Questo non è rischioso.
La sessione è in ServerHello fa riferimento a una sessione TLS precedentemente stabilita che può essere scelta per riprendere dal client.
Ciò rende possibile escludere strette di mano altrimenti ripetute, ma con solo l'id della sessione, un utente malintenzionato non può fare molto.
Anche se l'attaccante in precedenza aveva assistito alla stretta di mano che è stata saltata, conosceva i parametri di configurazione (come sono gli stessi) della sessione, ma non le chiavi effimere scambiate durante l'ultima stretta di mano, poiché la loro trasmissione era sicuro in primo luogo (supponendo che TLS sia stato utilizzato nella versione corretta e con la configurazione corretta).
L'incomprensione potrebbe derivare dall'uso multiplo di "sessione": in TLS, ci sono sessioni - e in HTTP (S), ci sono anche sessioni, a volte. L'id di sessione in ServerHello non è un cookie di sessione HTTP (S), comunque. Sono cose completamente diverse.
Una sessione TLS non ha nulla a che fare con la sessione che potresti conoscere da "http session hijacking".
Leggi altre domande sui tag tls