¿SSL también encripta las cookies?

Una revisión de SO no responde categóricamente a esta pregunta. Podría estar implícito, pero me gustaría incluirlo en el registro específicamente.¿SSL también encripta las cookies?

Si SSL está activo, cifrará los datos del encabezado HTTP, como "set-cookie"? Sé acerca de "setSecure" para solo transmitir cookies si HTTPS está activo, pero si SSL está activo, me gustaría confirmar si todos los datos del encabezado están encriptados de manera predeterminada sin la necesidad de usar "setSecure".

Fuente

2011-06-01 giulio

Los datos enviados a través de SSL (HTTPS) están completamente encriptados, los encabezados incluidos (de ahí las cookies), solo el host al que se envía la solicitud no está encriptado. También significa que la solicitud GET está encriptada (el resto de la URL).

Aunque un atacante podría obligar a un cliente a responder a través de HTTP, por lo que es muy recomendable utilizar el indicador "Seguro" en su cookie, que impone el uso de HTTPS para enviar cookies.

Además, usar la bandera HTTPOnly mejoraría en gran medida la seguridad de su sitio, ya que no permite que las cookies se lean con código JavaScript (Mitigando las posibles vulnerabilidades XSS).

Fuente

2011-06-01 01:00:07 Dpp

Hace algunos buenos comentarios acerca de los ataques orientados al protocolo. Lo mejor es mantener "setSecure (true)" para proteger la información de sesión de la conmutación de protocolos. +1 – giulio

SSL cifra toda la sesión HTTP, incluidos los encabezados.

Es por eso que lo han cambiado por TLS para "Transport Layer Security". La "Capa de transporte" se encuentra debajo de la "Capa de aplicación" (entre otras) en la pila de la red.

Así que sí.

Fuente

2011-06-01 00:55:33 Nemo

¿SSL también encripta las cookies?

Respuesta

Cuestiones relacionadas