¿Se puede hacer una cookie en HTTPS y usarla en HTTP si la seguridad es falsa?

¿Se puede hacer una cookie en HTTPS, y se usa en HTTP si el parámetro seguro de la cookie se establece como falso? Tengo un sitio web donde solo necesito una página para estar en HTTPS, como el inicio de sesión o una página de funciones especiales.¿Se puede hacer una cookie en HTTPS y usarla en HTTP si la seguridad es falsa?

Supongo que la cookie será (segura ya que se transfiere con SSL) aunque se devuelve como no hash cuando en una página no SSL, ¿es seguro asumirlo?

Fuente

2011-04-18 Kenshin R.

Sí, eso es posible. Puede encontrar ['$ cookie-> setSecureOnly ($ secureOnly)'] (https://github.com/delight-im/PHP-Cookie/blob/004cde69ec840e65c15275e09b92ecb1da06f357/src/Cookie.php#L141) útil, como se encuentra en [esta biblioteca independiente] (https://github.com/delight-im/PHP-Cookie). – caw

En resumen: sí.

Configurar una cookie en una respuesta segura SSL, pero omitiendo el secure marca, hará que la cookie no se comporte de manera diferente a si se transfirió a través de una conexión no SSL.

Fuente

2011-04-18 05:00:58 deceze

Una cookie se puede utilizar en HTTP o HTTPS a menos que esté marcado como seguro. Si está marcado como seguro, el navegador solo lo enviará si la solicitud actual está en HTTPS.

Si su solicitud actual es HTTP, la cookie se enviará "in-the-clear" y podrá ser interceptada por un intermediario o por alguien que detecte tráfico. Google "fireheep" para un ejemplo de por qué esto puede ser malo.

Fuente

2011-04-18 05:00:27

¿Se puede hacer una cookie en HTTPS y usarla en HTTP si la seguridad es falsa?

Respuesta

Cuestiones relacionadas