Текущее состояние механизма управления HTTP-HTTP (Cookies)

Мне было интересно, есть ли обзор или отчет о текущем состоянии соответствия браузерам трех спецификаций Cookie: Netscapes original draft, RFC 2109 и RFC 2965, который устарел RFC 2109.

Я знаю, что из-за своего возраста проект Netscapes будет поддерживаться большинством клиентов. Но некоторые рекомендуют не использовать его больше, например. этот учебник по Apache HttpClient:

Проект Netscape:. Эта спецификация соответствует исходной спецификации проекта, опубликованной Netscape Communications. Его следует избегать, если это абсолютно необходимо для совместимости с устаревшим кодом.

Как насчет другой спецификации? Готовы ли они еще использоваться?

Ответ 1

Похоже, что консенсус по-прежнему не готов к использованию. Некоторые из причин этого упоминаются здесь и в основном относятся к соблюдению браузера.

Однако, по подозрению, я подозреваю, что ваш мотив спросить об этом может касаться проблемы захвата сессии, которая была приведена в центр внимания приложениями, такими как FireSheep.

Если в этом случае я столкнулся с интересным документом, предлагающим решение проблемы, называемой одноразовыми cookie OTC. Возможно, стоит прочитать. Это название Одноразовые файлы cookie: предотвращение нападений захвата сеанса с одноразовыми учетными данными и его от 4 докторов PhD в Georgia Tech.

(Если ссылка google Docs здесь не работает прямая ссылка на PDF.)

Таким образом, в основном он заключает:

При полной замене HTTP HTTPS улучшит общую безопасность Интернета, это может быть сложный и сложный проект для некоторых веб-приложений., В результате многие веб-приложения останутся уязвимыми, пока развертывается HTTPS на всей территории, процесс, который может занять несколько лет.

...

Используя известную криптографическую конструкцию, такую как хэш-цепи, OTC создает одноразовые маркеры аутентификации, которые нельзя использовать повторно, обеспечивая более надежную целостность сеанса., OTC значительно эффективнее, чем HTTPS, и имеет примерно такую же производительность, что и существующие механизмы на основе файлов cookie.

Это очень интересно читать. Я надеюсь, что кто-то каким-то образом поможет,

~ gMale

Ответ 2

Самое недавнее исследование, похоже, похоже на то, что было написано Ka-Ping Yee в 2002 году, которое считается древним в эволюции WWW/Интернет. Положительным моментом является то, что он опросил 12 браузеров в трех ОС, что может дать справедливое представление о том, как они адаптировали управление файлами cookie.

Yee, Ka-Ping, "Обзор Cookie Функциональность управления и удобство использования в веб-браузерах" http://zesty.ca/2002/priv/cookie-survey.pdf, 2002.

Еще одна недавняя статья, хотя и менее актуальная, написана Yue, Xie и Wang в 2009 году (опубликовано в 2010 году). Он провел крупномасштабное исследование по управлению HTTP файлами с более чем 5000 веб-сайтами, используя систему, которая может автоматически проверять полезность файлов cookie с веб-сайта и устанавливать разрешение на использование файлов cookie от имени пользователей.

Чуан Юэ, Мэнцзюнь Се и Хейнинг Wang, "Автоматическое HTTP Cookie Система управления", в Журнале Компьютерные сети (COMNET), 54 (13) с. 2182-2198, 2010.

Ответ 3

Возможно, вы захотите проверить

http://lists.w3.org/Archives/Public/www-tag/2011Mar/0021.html

который относится к

http://www.ietf.org/id/draft-ietf-httpstate-cookie-23.txt

Это предназначено для устаревших RFC 2965.

"Document Quality

This document defines the HTTP Cookie and Set-Cookie HTTP
header fields as they are presently utilized on the Internet. As a
result, there are already many implementations of this specification."