#web #session-cookies #protection
#веб #сеансовые файлы cookie #защита
Вопрос:
Это вопрос новичка.
Использование HTTPS все время облагает серверы налогами, поскольку все должно быть зашифровано / расшифровано.
В случае, если я хочу защитить только идентификатор сеанса, отправленный в браузер и сохраненный как cookie, чтобы избежать перехвата идентификатора сеанса человеком посередине, мне было интересно, можно ли включить HTTPS только тогда, когда браузер отправляет идентификатор сеанса вместе с HTTP-запросом, в то время как ответ отправляетсясервер в обычном HTTP?
Спасибо.
Ответ №1:
Нет, это невозможно — браузер и сервер совместно настраивают двусторонний канал и будут использовать его в обоих направлениях.
В любом случае, большая часть накладных расходов от использования SSL возникает при настройке соединения, а не при использовании соединения, и вы не сможете сэкономить на этих накладных расходах.
Комментарии:
1. Как насчет перенаправления? Если сервер отправляет перенаправление на стороне сервера на http-соединение, не вернет ли оно незашифрованное?
2. @Matt: чтобы это сработало, вам пришлось бы передать какую-то форму учетных данных через небезопасное соединение.
3. Спасибо за информацию, ребята. Существуют ли нагрузочные тесты для проверки того, что использование HTTPS добавляет незначительные накладные расходы для целых сеансов?
Ответ №2:
Вы могли бы написать фильтр, который принимал каждый запрос и перенаправлял на не-https эквивалентные URL-адреса? Таким образом, каждый запрос будет запрашивать https, а затем отвечать на http?
Комментарии:
1. Перенаправление заставляет браузер отправлять другой запрос, поэтому на самом деле это не делает то, что было запрошено.