L'HTTPS protegge dalla sessione?

0

In una tipica sessione di session riding , l'hacker induce la vittima a inviare una richiesta HTTP a un sito Web a cui è già stato effettuato l'accesso. Ad esempio, l'inganno della vittima fa clic su un link per attivare un attacco CSRF. Il browser include il cookie di sessione (e tutti gli altri cookie per quel sito) nella richiesta HTTP, pertanto l'utente malintenzionato può eseguire qualsiasi operazione, possibilmente dannosa, che la vittima dell'operazione è autorizzata a eseguire.

HTTPS crittografa l'intero pacchetto, rendendo impossibile la lettura del contenuto, inclusi intestazioni e cookie. Ma protegge l'utente dagli attacchi session riding , o il browser includerà ancora i cookie e utilizzerà automaticamente la crittografia corretta?

    
posta Tuomas Toivonen 20.07.2016 - 17:48
fonte

1 risposta

1

No perché il browser non modifica nulla nella richiesta quando lo invia su https (lo crittograferà solo in aggiunta). Un attacco con ad es. XSS funzionerà esattamente come funzionerebbe con http.

link

    
risposta data 20.07.2016 - 18:08
fonte

Leggi altre domande sui tag