Gum*_*mbo 18 cookies standards-compliance
我想知道是否有调查或浏览器符合三个饼干规格的当前状态的报告:Netscape的原草案,RFC 2109和RFC 2965是淘汰了RFC 2109.
我知道,由于它的年龄,Netscape的草案将得到大多数客户的支持.但有些人建议不再使用它,例如关于Apache的HttpClient的本教程:
Netscape草案: 此规范符合Netscape Communications发布的原始草案规范.除非绝对有必要与遗留代码兼容,否则应该避免使用它.
那么其他规格怎么样?他们准备好了吗?
共识似乎是它们还没有准备好使用。 这里提到了一些原因,主要与浏览器合规性有关。
\n\n然而,凭直觉,我怀疑您提出这个问题的动机可能与FireSheep等应用程序引起关注的会话劫持问题有关。
\n\n如果是这样的话,我发现了一篇有趣的论文,提出了一种名为 OTC\'s\xe2\x80\x94one-time cookies 的问题解决方案。这可能值得一读。它的标题是“一次性 Cookie:使用一次性凭证防止会话劫持攻击”,由佐治亚理工学院的 4 名博士生撰写。
\n\n(如果谷歌文档链接不起作用,这里是PDF 的直接链接。)
\n\n综上所述,基本得出结论:
\n\n\n\n\n虽然用 HTTPS 完全取代 HTTP 将提高 Web 的整体安全性,但对于某些 Web 应用程序来说,这可能是一个具有挑战性且复杂的项目。。。因此,在部署站点范围的 HTTPS 时,许多 Web 应用程序仍然容易受到攻击,这一过程可能需要数年时间。
\n
...
\n\n\n\n\n通过依赖哈希链等众所周知的加密结构,OTC 创建了无法重复使用的一次性身份验证令牌,从而提供了更强大的会话完整性。。。OTC 比 HTTPS 高效得多,并且与当前基于 cookie 的机制具有大致相同的性能。
\n
这是一本非常有趣的读物。我希望能以某种方式帮助某人
\n\n~g男
\n| 归档时间: |
|
| 查看次数: |
1453 次 |
| 最近记录: |