Encryption 加密身份验证cookie如何防止会话劫持？

假设一个cookie说FB的身份验证cookie被加密并发送给我。如果我使用wireshark、Firesheep等工具，那么我就可以嗅出加密的cookie。我打开一个新浏览器，注入这个加密的cookie（使用greasemonkey和一些脚本），最终它会工作。这里加密的目的是什么

---

因为问题是，即使在加密之后，每次登录facebook后，我都会发送加密的cookie，嗅探工具可以得到它。请解释一下？？？

大多数网站使用cookie来识别用户登录，是的，cookie对您是可见的。但每次您登录网站时，网站都会向您发送一个新的加密cookie，您的旧cookie/以前的cookie将无法工作。并且cookie有一个过期的日期，cookie上的加密将停止用户计算cookie以便下次登录。如果用户可以拥有生成cookie字符串的公式，那么网站就没有安全性。干杯

---

顺便说一句，你应该明白这一点，做好事，不要做坏事，保持我们的互联网安全和整洁！谢谢

我不确定你是否准确地抓住了我。让我解释一下。。我登录facebook Fb在我的机器上设置了一个加密的cookie，然后每次单击facebook，该cookie都将被传输到Fb服务器，并且仅由SameOriginPolicy传输到Fb。与我相同n/w的人可以使用嗅探器轻松获取此cookie。因此，我的观点是，如果他从浏览器中使用此cookie，他将自动登录到facebook。那么加密有什么意义呢？嗨，当你登录FB时，你使用的是HTTPS，它会加密你的浏览器内容和cookie，使它们不可读，其他人不容易通过嗅探看到你的cookie。但是，您是对的，如果他们能够捕获您的所有cookie，他们就有可能在特定时间段以您的身份登录。这就是为什么你不应该安装未经认证的三方浏览器插件。Http/https是无状态的，cookie是您的标识符，您应该保证它们的安全。我投票关闭这个问题，因为它是关于网站安全的，但不包含编程问题。