Visualizzazione risultati 1 fino 6 di 6

Discussione: [PHP] Cookie HTTP e HTTPS - Sicurezza

  1. 16-06-2014, 18.20.03 #1
    Guest

    Predefinito [PHP] Cookie HTTP e HTTPS - Sicurezza

    Premetto che è solo una curiosità che mi è venuta.
    Non son sicuro di aver scritto nella sezione giusta, ma la mia domanda è molto particolare... Allora, al di là dell'ambito di altervista, mi chiedevo: che differenza si nota tra un coockie inviato tramite HTTP e uno tramite HTTPS?
    Ora mi spiego meglio. Sto lavorando pe conto mio ad un piccolo sito con login. Ora, se volessi salvare la password (so che non si fa) in un coockie normale potrei visualizzarla direttamente con qualsiasi tool. Se invece quel coockie fosse stato spedito tramite HTTPS la vedrei uguale?
    Ad esempio, mando all'utente X un coockie chiamato PASSWORD con valore "password". Con un semplice tool vedo il valore. Se invece lo stesso coockie fosse stato trasmesso su protocollo sicuro, non riuscirei più a vedere "password"?
    Insomma, con HTTPS si cripta solo il transito dal server al PC oppure anche il coockie sulla macchina dell'utente?
    Spero di essermi spiegato, grazie del chiarimento.
  2. 16-06-2014, 19.12.21 #2
    karl94
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,744

    Predefinito

    Citazione Originalmente inviato da borg Visualizza messaggio
    Se invece quel coockie fosse stato spedito tramite HTTPS la vedrei uguale?
    Il tuo browser deve conoscere il valore del cookie per poterlo spedire poi ad ogni richiesta e anche se il tutto viene incapsulato in un tunnel cifrato, alla fine il browser deve leggerlo e lo legge in chiaro.
    HTTPS non è altro che HTTP incapsulato mediante SSL o TLS, la richiesta effettiva non viene alterata in altro modo, così come i vari header tra cui Cookie o Set-Cookie.
    Al più esiste un flag (secure) che indica al browser di inviare quel specifico cookie solo mediante connessione cifrata.
  3. 17-06-2014, 10.18.28 #3
    L'avatar di saitfainder
    saitfainder
    saitfainder non è connesso Sëniör Stäff
    Data registrazione
    06-12-2002
    Residenza
    Torino
    Messaggi
    8,715

    Predefinito

    Se ti serve solo per la sessione puoi utilizzare anche l'opzione "HTTP Only" che dice al browser di non rendere visibile il cookie al Javascript che gira sulla pagina.


    «È una mia peculiarità distorcere la verità e inventarne di nuove.»
    «I tuoi orientamenti hanno su di me un effetto prossimo allo zero.»

  4. 18-06-2014, 12.51.36 #4
    Guest

    Predefinito

    Ok capito, grazie del chiarimento. Quindi nel mio sistema di login uso i coockie per conservare i dati di accesso (ID utente e pass), vado sul PC del mio amico, copio i valori dei cookie, li creo sul mio PC e sono dentro il suo account? Come si procede per evitarlo? Qualche idea? Grazie per il chiarimento comunque.
  5. 18-06-2014, 15.10.36 #5
    L'avatar di saitfainder
    saitfainder
    saitfainder non è connesso Sëniör Stäff
    Data registrazione
    06-12-2002
    Residenza
    Torino
    Messaggi
    8,715

    Predefinito

    Funziona così per tutti.


    «È una mia peculiarità distorcere la verità e inventarne di nuove.»
    «I tuoi orientamenti hanno su di me un effetto prossimo allo zero.»

  6. 19-06-2014, 09.27.28 #6
    Guest

    Predefinito

    Molto bene, grazie, non lo sapevo. Fa sempre piacere imparare qualcosa di nuovo :D
« Discussione precedente | Prossima discussione »

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •  

Regole del forum