Нужно-ли маркировать cookie флагом Secure ?

Тема в разделе "Веб-разработка", создана пользователем X-Shar, 31 май 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Не знаю-ли получу ответ на свой вопрос или нет, но решил создать такую тему, нужен-ли такой флаг у cookie если сайт доступен только по защищённому протоколу https !

    Вот как здесь например, редирект 301, с 80-го порта на 443 !

    Внимание вопрос, как передаются куки здесь ?Не въехал!!! Не въехал!!! Не въехал!!!
     
    • Мне нравится Мне нравится x 2
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    • Мне нравится Мне нравится x 2
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Отвечу сам на свой вопрос, если рассматривать этот скрипт, также как и многие другие, то куки привязываются к сессии, т.е. если сессия на https то и куки будут передаваться по защищённому протоколу !

    К тому-же сам браузер "не разрешит" (Заблокирует) передачу по небезопасному протоколу...

    Поэтому маркировать куки Secure не особо и нужно в данном случае...

    Если я не прав, готов выслушать другое мнение !WinkSmile
     
    • Мне нравится Мне нравится x 3
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Ага.Сейчас мнения так и посыпятся:)
    А,вот интересно,есть возможность сделать куки которые невозможно будет подменить (про угнать не знаю,там факторов много).Если,например,привязать их к айпи,к юзер-агенту браузера и плюс к этому сделать короткий срок действия (например,минут 30).По идее такая защита даёт практически 100% защиту.Правда появляются маленькие неудобства,типа заново авторизовываться через определённое время или после смены айпи.К чему ещё можно привязать куки?
     
    • Мне нравится Мне нравится x 3
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну здесь вроде так и сделано, если опцию "Запомнить меня" не включать, там 30-ть минут как-раз и привязка к айпишнику тоже есть...
     
    • Мне нравится Мне нравится x 2

Поделиться этой страницей