Нет, они передаются после. Но если подсунуть жертве ссылку на http вместо https, то браузер передаст cookie по открытому каналу, где их можно перехватить. Для борьбы с этим в Set-Cookie можно добавлять флаг «secure». Этот флаг советует браузеру передавать эту cookie только по защищённому каналу.

i-rinat ★★★★★
(19.04.16 13:33:16 MSK)

Ответ на: комментарий от shell-script 19.04.16 13:31:01 MSK

Через час-два по запросу «https_OVERBLACK_669» будет найдена эта тема.

i-rinat ★★★★★
(19.04.16 13:34:26 MSK)

Ответ на: комментарий от i-rinat 19.04.16 13:33:16 MSK

Все так просто. Спасибо.

arturchik
(19.04.16 13:39:29 MSK) автор топика

Ответ на: комментарий от arturchik 19.04.16 13:39:29 MSK

Советую прочитать RFC документы, относящиеся к HTTP. Многие вопросы отпадут.

i-rinat ★★★★★
(19.04.16 13:45:21 MSK)

Ссылка

Ответ на: комментарий от i-rinat 19.04.16 13:34:26 MSK

mission complete!

snaf ★★★★★
(23.04.16 12:04:39 MSK)

Ссылка

Ответ на: комментарий от i-rinat 19.04.16 13:34:26 MSK

Через час-два по запросу «https_OVERBLACK_669» будет найдена эта тема.

И она — единственная находимая у Гугла и Бинга. :) Другие поискивики (Янедекс, Дак-дак-го) ищут более вольно.

~~KRoN73~~ ★★★★★
(23.04.16 12:07:45 MSK)

Ссылка

да, возможно, как минимум теоретически, но реально из-за лени, невнимательности, несовершенства все еще при определенном усердии может быть проще в практическом смысле...

anonymous
(23.04.16 12:12:04 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Безопасность таких конфигов ssh и fail2ban

Security

Детектирование curl|bash-юзеров со стороны сервера

→

Похожие темы