من در مورد جلسات اجرا شده از طریق کوکی ها سوال دارم. من تازه شروع به یادگیری در مورد امنیت کرده ام و از این مسئله عذر خواهی می کنم اگر این سوال به عنوان چیزی ابتدایی به نظر برسد.
بگذارید بگویم از HTTPS استفاده می کنم، بنابراین تمام داده های کوکی رمزگذاری می شوند و تنها سرور می تواند با کلید خصوصی آن رمزگشایی کند. اما این هنوز کسی را از تکان دادن ترافیک من متوقف نمی کند و رشته دقیق همان در هدرهای هر درخواست را مشاهده می کند. بنابراین کسی که ترافیک را خراب می کند می تواند دریابد که این رشته ثابت در هر هدر درخواست ممکن است کوکی جلسه باشد. اگر مهاجم تلاش می کند هر علامت را در داخل بدن درخواست یا کوکی تغییر دهد، در هنگام رمزگشایی آن به عنوان ناخواسته در سرور ظاهر می شود. با این حال، حتی اگر رمزگذاری شده باشد، مهاجم می تواند درخواست را دوباره ارسال کند و حملات را انجام دهد، درست است؟
آیا می توانم بگویم که SSL / TLS مانع از دستکاری کوکی ها می شود، اما در واقع نمی تواند از سرقت و یا پخش مجدد جلوگیری کند؟
