21
Yesod bookYesod oturum çerezi neden ele geçirilemiyor?
şifreleme verilerini teftiş gelen engeller diyor ve imza oturumu kaçırdılar olabilir ne de tahrif olmasını sağlar. Bu durumda neden
Bana net değil. bir kulak misafiri sunucudan gönderilen olarak çerezin ele alır ve meşru kullanıcının başka istekte önce kullanıyorsa, oturum ele geçirildiğinden sona ermeyecek?
Gerçekten oturum saldırılarını önlemenin tek yolu boyunca SSL kullanmaktır geliyor bana. (: @sr_ açıklamalarda işaret ettiği gibi havai kadarıyla kaçırma önlenmesi ile ilgili olarak, aksi hala yararlıdır EDIT.) Ama çok sonra yaparsanız Yesod'a tarafından yapılan imzalama ve şifreleme olmaktan gereksiz havai biter. İyi bir av var
tehdit _, istemci (çerezler şeyler kaydederek) çok fazla güvenilen oluşan genel bir sorun (yani fark sunucuya olmadan) çerez değişen _The kullanıcıdır. Kaynaktan [hackage] (http://hackage.haskell.org/package/clientsession-0.9.1/docs/Web-ClientSession.html): "tanımlama (bütünlük), MAC saklanması veya iletim potansiyel hata tespit etmesinin yanı sıra Çerez verilerinin bu sunucu tarafından gerçekten oluşturulduğunu garanti ederek (otantiklik) çerez bilgilerinin kötü niyetli modifikasyonlarını da önler. –
@sr_ Agreed. Konuyla ilgili olarak ele aldığım şey, kitabın, çerezin ele geçirilemeyeceği iddiasıdır. Örneğin, sitemde kimlik doğrulama kullanıyorum, ancak tüm sayfalarımda SSL kullanmıyorsam, doğru koşullarda bir saldırganın beni siteye taklit edebileceğini düşünüyorum. –