Cookie是否安全，不会被http劫持

我看到facebook通过http发送cookies。如何确保他们不被劫持？如果我将cookie复制到另一台计算机上，我会登录吗？

您刚才描述了会话劫持，这是一个真正的安全问题。它可以在许多方面避免。不过，保护Cookie的最简单方法是确保它们通过使用HTTPS而不是HTTP进行加密。

通过HTTP（端口80）发送的Cookie不安全，因为HTTP协议未加密

通过HTTPS（端口443）发送的cookie是安全的，因为HTTPS是加密的

---

因此，如果Facebook通过HTTP发送/接收Cookie，它们可能被窃取并被恶意使用。

通过HTTP发送的Cookie是不安全的，通过HTTPS发送的Cookie比HTTP更安全，但是它们仍然可能被窃取，因为最近发现了一些破解SSL的方法。有关会话劫持和所有会话劫持攻击的完整书面说明，请参见：。还有一点是关于防止会话劫持的。

但是当cookie到达盒子时，它们是未加密的，对吗？所以正如OP所说，他能把饼干复制到另一台机器上吗？是的，这就是我说“最简单”的原因。然而，我的论点是，如果有人已经拥有登录机器的物理访问权限，他们就不需要cookie。一般来说，如果物理安全性遭到破坏（即工作站密码，甚至外部门锁），cookie将永远不会安全，因此您不妨计划处理其他（我认为更常见的）案例。我只是想澄清一下，如果有人刚刚抓到了cookie，他们可以用它用另一个浏览器登录，对吗？还是不？我认为是的（否则获取cookie的效用有限），但我只想澄清一下。假设该站点只使用cookie进行身份验证（而不是一个多因素方案，可能还包括IP地址、用户代理请求头等），那么你是对的：另一个浏览器，即使在不同的机器上，也可以“登录”使用cookie。