现在怎么越来越多的公司用cookie了?这不是过时的技術吗?# Programming - 葵花宝典
b*h
1 楼
昨天网上投的一个大公司职位,这个位置post没多长时间,就一个多礼拜了,自己觉得
还是非常match的,结果今天下午就受到据信,说找到更合适的人选.公司找人有这么
快吗,还是内部有人顶替了?
还是非常match的,结果今天下午就受到据信,说找到更合适的人选.公司找人有这么
快吗,还是内部有人顶替了?
c*a
2 楼
七月想去签。还是只能周二和周四吗?
s*8
3 楼
在公司成为正职以前做过半年的实习。这半年的实习所掌握的经验是否可以写在绿卡广
告中?谢谢!!
告中?谢谢!!
R*j
4 楼
难怪女主角用的照相机是Sony Nex, 那计算机也有几次Sony Vaio镜头, 敢情columbia'
s picture 的东家是Sony。
s picture 的东家是Sony。
c*e
5 楼
比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
d*l
6 楼
there are just fishing--no real opening
【在 b********h 的大作中提到】
: 昨天网上投的一个大公司职位,这个位置post没多长时间,就一个多礼拜了,自己觉得
: 还是非常match的,结果今天下午就受到据信,说找到更合适的人选.公司找人有这么
: 快吗,还是内部有人顶替了?
【在 b********h 的大作中提到】
: 昨天网上投的一个大公司职位,这个位置post没多长时间,就一个多礼拜了,自己觉得
: 还是非常match的,结果今天下午就受到据信,说找到更合适的人选.公司找人有这么
: 快吗,还是内部有人顶替了?
r*a
7 楼
NO
【在 s******8 的大作中提到】
: 在公司成为正职以前做过半年的实习。这半年的实习所掌握的经验是否可以写在绿卡广
: 告中?谢谢!!
【在 s******8 的大作中提到】
: 在公司成为正职以前做过半年的实习。这半年的实习所掌握的经验是否可以写在绿卡广
: 告中?谢谢!!
b*d
8 楼
但是,不好意思,我就记得一水的mbp了
c*1
9 楼
https://en.wikipedia.org/wiki/HTTP_cookie
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
s*r
10 楼
有时候是绿卡广告
有时候是找到人之后贴的h1b广告
有时候是找到人之后贴的h1b广告
s*8
11 楼
why?
w*z
12 楼
不用cookie用什么?
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
s*8
13 楼
help please!
c*e
14 楼
Security vulnerabilities may allow a cookie's data to be read by a hacker,
used to gain access to user data, or used to gain access (with the user's
credentials) to the website to which the cookie belongs (see cross-site
scripting and cross-site request forgery for examples)
Besides privacy concerns, cookies also have some technical drawbacks. In
particular, they do not always accurately identify users, they can be used
for security attacks, and they are often at odds with the Representational
State Transfer (REST) software architectural style
https://en.wikipedia.org/wiki/HTTP_cookie
真奇怪怎么还有人用cookie这种东西。
【在 c********1 的大作中提到】
: https://en.wikipedia.org/wiki/HTTP_cookie
used to gain access to user data, or used to gain access (with the user's
credentials) to the website to which the cookie belongs (see cross-site
scripting and cross-site request forgery for examples)
Besides privacy concerns, cookies also have some technical drawbacks. In
particular, they do not always accurately identify users, they can be used
for security attacks, and they are often at odds with the Representational
State Transfer (REST) software architectural style
https://en.wikipedia.org/wiki/HTTP_cookie
真奇怪怎么还有人用cookie这种东西。
【在 c********1 的大作中提到】
: https://en.wikipedia.org/wiki/HTTP_cookie
a*a
15 楼
同公司的经验不算。
如果你干这份工作的时候,不是这公司的雇员。比如是别的公司派来的 contractor/
consultant,后来转正,那就可以算。
如果你干这份工作的时候,不是这公司的雇员。比如是别的公司派来的 contractor/
consultant,后来转正,那就可以算。
c*1
16 楼
Are there vital more secure alternative solutions?
I did not see any major web security issue caused by cookies in recent years.
【在 c*********e 的大作中提到】
: Security vulnerabilities may allow a cookie's data to be read by a hacker,
: used to gain access to user data, or used to gain access (with the user's
: credentials) to the website to which the cookie belongs (see cross-site
: scripting and cross-site request forgery for examples)
: Besides privacy concerns, cookies also have some technical drawbacks. In
: particular, they do not always accurately identify users, they can be used
: for security attacks, and they are often at odds with the Representational
: State Transfer (REST) software architectural style
: https://en.wikipedia.org/wiki/HTTP_cookie
: 真奇怪怎么还有人用cookie这种东西。
I did not see any major web security issue caused by cookies in recent years.
【在 c*********e 的大作中提到】
: Security vulnerabilities may allow a cookie's data to be read by a hacker,
: used to gain access to user data, or used to gain access (with the user's
: credentials) to the website to which the cookie belongs (see cross-site
: scripting and cross-site request forgery for examples)
: Besides privacy concerns, cookies also have some technical drawbacks. In
: particular, they do not always accurately identify users, they can be used
: for security attacks, and they are often at odds with the Representational
: State Transfer (REST) software architectural style
: https://en.wikipedia.org/wiki/HTTP_cookie
: 真奇怪怎么还有人用cookie这种东西。
r*l
17 楼
这东西全看律师怎么写。
k*t
18 楼
你有空的时候整一个替代方案出来大家试试?cross site攻击主要注意也不是什么大问
题。
【在 c*********e 的大作中提到】
: Security vulnerabilities may allow a cookie's data to be read by a hacker,
: used to gain access to user data, or used to gain access (with the user's
: credentials) to the website to which the cookie belongs (see cross-site
: scripting and cross-site request forgery for examples)
: Besides privacy concerns, cookies also have some technical drawbacks. In
: particular, they do not always accurately identify users, they can be used
: for security attacks, and they are often at odds with the Representational
: State Transfer (REST) software architectural style
: https://en.wikipedia.org/wiki/HTTP_cookie
: 真奇怪怎么还有人用cookie这种东西。
题。
【在 c*********e 的大作中提到】
: Security vulnerabilities may allow a cookie's data to be read by a hacker,
: used to gain access to user data, or used to gain access (with the user's
: credentials) to the website to which the cookie belongs (see cross-site
: scripting and cross-site request forgery for examples)
: Besides privacy concerns, cookies also have some technical drawbacks. In
: particular, they do not always accurately identify users, they can be used
: for security attacks, and they are often at odds with the Representational
: State Transfer (REST) software architectural style
: https://en.wikipedia.org/wiki/HTTP_cookie
: 真奇怪怎么还有人用cookie这种东西。
c*e
19 楼
用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re-
captcha,也可以用一个scrf token.
cookie都是十几年前的老技术了,竟然又死灰复燃。
【在 k******t 的大作中提到】
: 你有空的时候整一个替代方案出来大家试试?cross site攻击主要注意也不是什么大问
: 题。
captcha,也可以用一个scrf token.
cookie都是十几年前的老技术了,竟然又死灰复燃。
【在 k******t 的大作中提到】
: 你有空的时候整一个替代方案出来大家试试?cross site攻击主要注意也不是什么大问
: 题。
c*1
20 楼
I thought session id is similar to cookie, or enhanced cookie.
【在 c*********e 的大作中提到】
: 用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re-
: captcha,也可以用一个scrf token.
: cookie都是十几年前的老技术了,竟然又死灰复燃。
【在 c*********e 的大作中提到】
: 用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re-
: captcha,也可以用一个scrf token.
: cookie都是十几年前的老技术了,竟然又死灰复燃。
d*r
21 楼
感觉你的问题不靠谱。说到底这个是怎么balance load的问题。cookie 是把session
全部或部分存在客户端,感觉现在是主流因为方便balance load。当然不要忘了加密。
【在 c*********e 的大作中提到】
: 用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re-
: captcha,也可以用一个scrf token.
: cookie都是十几年前的老技术了,竟然又死灰复燃。
全部或部分存在客户端,感觉现在是主流因为方便balance load。当然不要忘了加密。
【在 c*********e 的大作中提到】
: 用session id就挺好的,client side只有一个session id.为了防止csrf,可以用re-
: captcha,也可以用一个scrf token.
: cookie都是十几年前的老技术了,竟然又死灰复燃。
c*e
22 楼
session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。
cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
【在 c********1 的大作中提到】
: I thought session id is similar to cookie, or enhanced cookie.
cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
【在 c********1 的大作中提到】
: I thought session id is similar to cookie, or enhanced cookie.
c*1
23 楼
session id and cookie both are a piece of data exchanged between client side
and server site, right?
【在 c*********e 的大作中提到】
: session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。
: cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
and server site, right?
【在 c*********e 的大作中提到】
: session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。
: cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
d*g
24 楼
你这是搞混了cookie和session
session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
“用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
少,特别是用在REST API上,和session id比各有优势:
https://tools.ietf.org/html/rfc7519
实际上cookie-based session和JWT很像。这些概念没有那么泾渭分明,都是为了解决
stateless和auth的矛盾而产生的solution或者叫workaround
【在 c*********e 的大作中提到】
: session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。
: cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
“用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
少,特别是用在REST API上,和session id比各有优势:
https://tools.ietf.org/html/rfc7519
实际上cookie-based session和JWT很像。这些概念没有那么泾渭分明,都是为了解决
stateless和auth的矛盾而产生的solution或者叫workaround
【在 c*********e 的大作中提到】
: session id只有一个id在客户端,没有其它任何信息,hacker更加难难道用户的数据。
: cookie的信息就在客户端,hacker用一个javascript就能拿到cookie信息。
z*8
25 楼
你如果不出来 我就想在下面群嘲了。。。
Session ID 难道不是cookie的一部分?
【在 d********g 的大作中提到】
: 你这是搞混了cookie和session
: session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
: “用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
: cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
: 感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
: hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
: 这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
: 说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
: 少,特别是用在REST API上,和session id比各有优势:
: https://tools.ietf.org/html/rfc7519
Session ID 难道不是cookie的一部分?
【在 d********g 的大作中提到】
: 你这是搞混了cookie和session
: session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
: “用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
: cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
: 感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
: hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
: 这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
: 说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
: 少,特别是用在REST API上,和session id比各有优势:
: https://tools.ietf.org/html/rfc7519
c*e
26 楼
en,cookie有很多种。我说的session cookie只是存在内存里,不是一个存在hard
drive的physical file.这个区别很大。一个在内存,一个是文件。
A session cookie, also known as an in-memory cookie or transient cookie,
exists only in temporary memory while the user navigates the website. Web
browsers normally delete session cookies when the user closes the browser.
【在 d********g 的大作中提到】
: 你这是搞混了cookie和session
: session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
: “用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
: cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
: 感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
: hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
: 这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
: 说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
: 少,特别是用在REST API上,和session id比各有优势:
: https://tools.ietf.org/html/rfc7519
drive的physical file.这个区别很大。一个在内存,一个是文件。
A session cookie, also known as an in-memory cookie or transient cookie,
exists only in temporary memory while the user navigates the website. Web
browsers normally delete session cookies when the user closes the browser.
【在 d********g 的大作中提到】
: 你这是搞混了cookie和session
: session id大部分以cookie形式存,也有少部分local storage等但是要考虑兼容性。
: “用cookie”是一个很宽泛的说法,你指的cookie不安全只是明码保存的信息。现在的
: cookie基本上都是要么加密要么做了签名,拿到信息也无法篡改。在cookie里不保留敏
: 感信息是基本常识,大部分cookie只是存一个hash id,这里面包括session id。“
: hacker用一个javascript就能拿到cookie信息”不准确,HttpOnly就是防这个的,当然
: 这些flag都是防君子不防小人,稍微改改浏览器源码就能绕过让其不honor
: 说到auth,除了WebSocket这一套新的stateful,传统HTTP stateless现在用JWT的也不
: 少,特别是用在REST API上,和session id比各有优势:
: https://tools.ietf.org/html/rfc7519
j*3
27 楼
用它干啥?为啥不用?
c*e
28 楼
存在内存里的session cookie,比较安全,一般没事。但是,存在hard drive里的
cookie,就没那么安全了。twitter用它来分析用户的使用习惯。其实,google
analytics用javascript来更好些。我朋友公司,规定存在hard drive里的cookie,必须
指定过期时间。
【在 j**********3 的大作中提到】
: 用它干啥?为啥不用?
cookie,就没那么安全了。twitter用它来分析用户的使用习惯。其实,google
analytics用javascript来更好些。我朋友公司,规定存在hard drive里的cookie,必须
指定过期时间。
【在 j**********3 的大作中提到】
: 用它干啥?为啥不用?
O*d
29 楼
cookie的内容可以加密。
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
c*e
30 楼
那为啥不推荐cookie里存密码?
【在 O*******d 的大作中提到】
: cookie的内容可以加密。
【在 O*******d 的大作中提到】
: cookie的内容可以加密。
O*d
31 楼
cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把
你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。
但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道
加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。
现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。
token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
【在 c*********e 的大作中提到】
: 那为啥不推荐cookie里存密码?
你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。
但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道
加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。
现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。
token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
【在 c*********e 的大作中提到】
: 那为啥不推荐cookie里存密码?
m*i
32 楼
用Http only cookie不就可以了吗
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
【在 c*********e 的大作中提到】
: 比如twitter网站,用了cookie.这玩艺不是很容易被hacker搞到信息吗?
c*e
33 楼
OAuth方法,hacker把access token的值拿到以后,能伪装成用户登录吗?
【在 O*******d 的大作中提到】
: cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把
: 你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。
: 但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道
: 加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。
: 现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。
: token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
【在 O*******d 的大作中提到】
: cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把
: 你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。
: 但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道
: 加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。
: 现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。
: token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
c*e
34 楼
如果不用oauth,在用户浏览多个网页的时候,怎么让浏览器知道是同一个用户在浏览呢?
【在 O*******d 的大作中提到】
: cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把
: 你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。
: 但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道
: 加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。
: 现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。
: token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
【在 O*******d 的大作中提到】
: cookie的加密和解密,可以在服务器端做。 跟browser没有任何关系。 hacker可以把
: 你加密的密码照原样送到服务器,服务器无法知道这是合法的密码还是被盗窃的密码。
: 但是用户的信息,即使被盗窃了,hacker无法解密,就无法使用。 hacker也无法知道
: 加密的内容是什么。如果有大量cookie,更无法知道哪个是有用户信息的。
: 现在用的较多的是OAuth方法来从第三方网站登录。 主要思想是用access token。
: token是加密的,有用户信息。 第三方网站无法知道其内容,只能照原样传回去。
c*e
35 楼
If a browser does not support HttpOnly and a website attempts to set an
HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
creating a traditional, script accessible cookie. As a result, the cookie (
typically your session cookie) becomes vulnerable to theft of modification
by malicious script
https://www.owasp.org/index.php/HttpOnly
【在 m***i 的大作中提到】
: 用Http only cookie不就可以了吗
HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
creating a traditional, script accessible cookie. As a result, the cookie (
typically your session cookie) becomes vulnerable to theft of modification
by malicious script
https://www.owasp.org/index.php/HttpOnly
【在 m***i 的大作中提到】
: 用Http only cookie不就可以了吗
a9
36 楼
照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览
器都支持的功能就行了。
【在 c*********e 的大作中提到】
: If a browser does not support HttpOnly and a website attempts to set an
: HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
: creating a traditional, script accessible cookie. As a result, the cookie (
: typically your session cookie) becomes vulnerable to theft of modification
: by malicious script
: https://www.owasp.org/index.php/HttpOnly
器都支持的功能就行了。
【在 c*********e 的大作中提到】
: If a browser does not support HttpOnly and a website attempts to set an
: HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
: creating a traditional, script accessible cookie. As a result, the cookie (
: typically your session cookie) becomes vulnerable to theft of modification
: by malicious script
: https://www.owasp.org/index.php/HttpOnly
c*e
37 楼
存在hard drive上的cookie,能存一些用户的私人偏好,比如喜欢上fashion网站,喜
欢上food网站,这些偏好能存在cookie里,server根据这些偏好给用户的网页里加上些
类似的广告连接。
密码是不能存在cookie里的。
【在 a9 的大作中提到】
: 照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览
: 器都支持的功能就行了。
欢上food网站,这些偏好能存在cookie里,server根据这些偏好给用户的网页里加上些
类似的广告连接。
密码是不能存在cookie里的。
【在 a9 的大作中提到】
: 照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览
: 器都支持的功能就行了。
m*i
38 楼
tell me which morden browser does not support http only cookie. Google
accounts rely on it.
【在 c*********e 的大作中提到】
: If a browser does not support HttpOnly and a website attempts to set an
: HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
: creating a traditional, script accessible cookie. As a result, the cookie (
: typically your session cookie) becomes vulnerable to theft of modification
: by malicious script
: https://www.owasp.org/index.php/HttpOnly
accounts rely on it.
【在 c*********e 的大作中提到】
: If a browser does not support HttpOnly and a website attempts to set an
: HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
: creating a traditional, script accessible cookie. As a result, the cookie (
: typically your session cookie) becomes vulnerable to theft of modification
: by malicious script
: https://www.owasp.org/index.php/HttpOnly
g*t
39 楼
cookie存广告数据,浏览的页面,然后狗狗的广告就能提取,
flash player也存了很多信息,大部分是广告信息,
flash player也存了很多信息,大部分是广告信息,
c*n
40 楼
流分析, 谁这么傻不用https
【在 a9 的大作中提到】
: 照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览
: 器都支持的功能就行了。
【在 a9 的大作中提到】
: 照你这想法什么都保护不了,直接把用户的http流全分析就行了。要的就是主流的浏览
: 器都支持的功能就行了。
相关阅读
[合集] topcoder上的前几名里面中国人可真多啊g++找不到bitset[合集] 一道微软面试题[合集] 两个小问题Question: Send the message to Database using ASP but without opening a window?[合集] 问个SOCKET问题啊 (转载)[合集] Interview Question给大家出个多进程的题[合集] 请问关于堆栈的问题[合集] 软件工程的书有什么好的推荐一下? (转载)[合集] Exception Handling in Cis C or C++ code more difficult to write?急问:这个为什么不行?问个ctags的问题[合集] 请问C 里面有什么针对矩阵运算的库吗?a SQL question, help!!!!!!![合集] 解一道 GOOGLE 面试题 ... (转载)[合集] c++里面到底destructor是不是要virtual的?[合集] question about the kernel scheduler (转载)请推荐中文版的C++ Java Matlab 教材吧