Tengo un equilibrador de carga que termina las solicitudes https a http y, por lo tanto, mis servidores backend las ven como http. Como resultado, todas mis cookies se configuran sin una marca de seguridad cuando ve las cookies en la versión https de este sitio. ¿Importa esto de todos modos ya que mezclamos http y https? Amazon.com y varios otros sitios de comercio electrónico grandes parecen tener cookies no seguras en https también.
Una cookie tiene el indicador "seguro" si lo dice. En teoría, nada impide que un servidor HTTP (no HTTPS) sirva una cookie "segura"; pero el software de su servidor puede tener problemas, ya que, desde su punto de vista, el protocolo es HTTP y una cookie segura tiene poco sentido si se transita a través de HTTP. Su servidor no sabe que está detrás de una puerta de enlace HTTPS a HTTP. Por otro lado, el cliente ve una conexión HTTPS, y obtener una cookie segura a través de dicha conexión no lo sorprenderá en absoluto.
El problema con una cookie no segura es que el cliente con gusto la enviará a cualquier servidor que se parezca al servidor original. En presencia de un atacante activo, debe asumir que cualquier cookie no segura podría ser secuestrada por el atacante. Dependiendo de su situación exacta, esto puede ser una amenaza mayor, menor o inexistente.
El indicador de seguridad de las cookies de sesión es importante porque, de lo contrario, la cookie se envía a través de http. Un atacante puede engañar a la víctima para que abra una conexión http incluso si apuntas todos los enlaces y recursos a https.
Normalmente, funciona para establecer el indicador de seguridad en el servidor de aplicaciones. El loadbalancer acaba de enviar la respuesta dentro de la conexión https y todo está bien para el cliente. El problema principal es decirle al equilibrador de carga que incluya la cookie en su conexión http al servidor de aplicaciones. Depende de la implementación concreta del equilibrador de carga, ya sea que lo haga automáticamente o necesite alguna configuración.
Sí, importa. Si la marca de seguridad no está activada en esas cookies, eres vulnerable a los ataques tipo Firesheep, lo cual es malo y podría afectar negativamente a los usuarios (por ejemplo, especialmente los usuarios que se conectan a través de una conexión inalámbrica abierta). Por lo tanto, le recomiendo que se asegure de que la marca de seguridad esté establecida en esas cookies.
De wikipedia
Una cookie segura solo se usa cuando una navegador está visitando un servidor a través de HTTPS, eso asegurará que esa cookie Siempre está encriptado cuando se transmite. de cliente a servidor, y por lo tanto menos probabilidades de estar expuesto a galletas robo a través de escuchas ilegales.
Entonces, la respuesta realmente es si le preocupa el contenido de las cookies que se envían a través de http o si los datos son confidenciales y siempre deben enviarse a través de https.
Bueno, si estoy leyendo correctamente, ¿está preguntando si las cookies HTTP son compatibles con las solicitudes HTTPS? No importa, pero las cookies HTTP y las cookies HTTPS apuntan al mismo directorio o host. Así que cuando miras el código de cookie establecido
GET /index.html HTTP/1.1
Host: www.example.org
Intentaría especificar una versión http: // y https: // versión