LINUX.ORG.RU
ФорумSecurity

Безопасность лор-кукисов в публичном вайфае

 , ,


0

2

Что происходит, когда я открываю новую вкладку, пишу linux.org.ru и нажимаю enter? Прежде чем меня переадресует на https версию, успею ли я спалить злоумышленникам-подслушивателям свои кукисы, которые позволят им своровать аккаунт? Будет ли результат отличаться с и без https-everywhere?

Не успеешь спалить.

Вопрос в другом. Почему, если тебя это волнует, не набирать адрес сайта сразу с https и не ждать редиректа?

generator ★★★
()
Ответ на: комментарий от generator

Это дольше, я не привык.

А как это работает, что не успею спалить?

hlebushek ★★
() автор топика 
Strict-Transport-Security: max-age=7776000

Если раньше заходил по HTTPS, то браузер не даст соединиться по HTTP.

Deleted
()
Ответ на: комментарий от hlebushek

Интересно, каким образом. Если этот заголовок выставлен, браузер даже не даст тебе добавить сторонний сертификат, если роскомнадзор подменит его, например. Любая попытка соединиться по HTTP будет молча заменяться на HTTPS до истечения срока действия.

Deleted
()
Ответ на: комментарий от Deleted

Я не знаю. Знаю, что есть какая-то атака, называющаяся https drop или как-то похоже, но не знаю, что как она работает.

hlebushek ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security