SSL을 통한 쿠키의 기본 동작

Question

웹 응용 프로그램이 SSL을 완전히 사용하고 있습니다. HTTP와하지 보안 HTTPS에서 공유 쿠키의 기회가 난 그냥 알고 싶어

1. : 나는 다음 사항에 관한 정보를 원했다.

2. 또는 응용 프로그램이 SSL을 사용하는 경우 쿠키의 기본 동작은 무엇입니까? HTTP 또는 HTTPS를 통해 공유됩니다.

3. 모든 쿠키가 HTTPS를 통해서만 공유되도록하려면 추가 설정을해야합니까?

4. Java 응용 프로그램에 대해 이러한 설정을하는 방법 (필요한 경우).

5. 안전한 쿠키는 어떻게 생겼습니까? 암호화 된 상태로 표시되거나 전혀 표시되지 않습니다. 내 응용 프로그램에서

내가 모질라가 추가 사용하고 있습니다 : 불을 지르고 모든 쿠키를 확보하는 것을 확인 .. 내가 할 수있는 쿠키의 몇 가지를 참조 확보하고 그들 중 몇은 아니다. 어떻게 작동하는지. 쿠키의 보안을 유지하기 위해 특정 자산을 사용하지 않습니다. 서블릿에서

Answer 1

3.0 호환 응용 프로그램 서버 만은 HTTP를 설정할 수 있고,은 web.xml에 다음을 추가하여 세션 쿠키 (JSESSIONID)에 대한 보안 플래그 :

<session-config> 
    ... 
    <cookie-config> 
     <http-only>true</http-only> 
     <secure>true</secure> 
    </cookie-config> 
</session-config> 

가 Secure and HttpOnly flags for session cookie Websphere 7

를 참조하십시오 다른 쿠키, 당신은 secure 플래그를 설정할 수 있습니다

공공 무효를 setSecure(boolean flag)

HTTPS 또는 SSL과 같은 보안 프로토콜을 사용하여 쿠키를 보내야하는지 여부를 나타냅니다.

http://docs.oracle.com/javase/7/docs/api/java/net/HttpCookie.html#setSecure%28boolean%29

안전 쿠키는 (추가) 암호화를 사용하지 마십시오. SSL/TLS 전송 계층은 HTTPS에 대한 암호화를 제공하므로 쿠키를 포함한 HTTP 프로토콜이 암호화됩니다.

Q 1..3 : 연결에서 HTTP를 사용하고 쿠키를 안전한 것으로 표시하면 HTTP를 통해 클라이언트로 전송되지만 (호환되는) 클라이언트는 비공개로 다시 보내지 않습니다. 안전한 연결. 보안 플래그의 기본값은 afaik로 지정되지 않습니다. 따라서 HTTPS (직접 또는 역방향 프록시를 통해)를 통해 웹 응용 프로그램에 액세스하는 경우 모든 응용 프로그램에 지정된 쿠키의 보안 플래그를 true로 설정하는 것이 좋습니다.