holistic 23 Опубликовано: 30 ноября 2017 Рассказать Опубликовано: 30 ноября 2017 1. Безопасно ли, если сайт ( в том числе и https://dle-news.ru ) в своих заголовках отдает информацию, содержащую следующую строку: - Set-Cookie: PHPSESSID=здесь набор знаков; path=/; HttpOnly ? Например, Security Report здесь: https://securityheaders.io пишет уведомление, и понижает безопасность заголовков до уровня "B", именно из-за этого Set-Cookie Доп. информация: - Set-Cookie : The 'secure' flag is not set on this cookie. Что это означает? ДЛЕ отдает любой сайт с небезопасными заголовками? Зачем вообще отдавать: Set-Cookie: PHPSESSID=..... ? 2. Более того, почему отдается следующее: - Expires: Thu, 19 Nov 1981 08:52:00 GMT Почему Expires - просроченный в прошлом и что это за дата из прошлого века? Разработчики могут просветить эту тему, может это забытые ошибки безопасности? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 1 декабря 2017 Рассказать Опубликовано: 1 декабря 2017 14 часа назад, holistic сказал: Что это означает? ДЛЕ отдает любой сайт с небезопасными заголовками? Нет не означает. Это означает что сайтом допускается передача куков не только по HTTPS протоколу, но и по HTTP протоколу. Сделано это для совместимости чтобы сайты могли работать по обоим протоколам одновременно, не все сайты переходят только на HTTPS без оставления HTTP. И вот чтобы авторизация работала, DLE не заставляет строго слать все только по HTTPS. Эти данные не шлются только по HTTP. Они шлются только по тому протоколу по которому вы работаете, если работаете на сайте по HTTPS то и куки идут по HTTPS, если по HTTP то куки идут по HTTP. Сообщение "The 'secure' flag is not set on this cookie." означает что принудительно не запрещен к работе обычный HTTP протокол. Кстати в следующей версии DLE, в случае если в настройках включено использование сайта только по HTTPS протоколу то DLE будет также заставлять браузер слать куки тоже только по HTTPS и отключать поддержку их для HTTP. А если эта настройка будет отключена, то DLE будет также поддерживать два протокола одновременно. 14 часа назад, holistic сказал: Зачем вообще отдавать: Set-Cookie: PHPSESSID=..... ? Видимо вы не в курсе. Это шлет не DLE, в ваш браузер автоматически и без участия DLE, это идентификатор PHP сессии, чтобы сервер и собственно ваш сайт мог узнавать вас, что вы это вы, а не сосед который например сидит рядом за тем же интернет соединением. Это идентификация пользователя. 14 часа назад, holistic сказал: 2. Более того, почему отдается следующее: - Expires: Thu, 19 Nov 1981 08:52:00 GMT Это отдает не DLE а ваш сервер. Это означает отключение принудительного кеширования отдаваемого контента вашим браузеров. Настройки кеширования делаются в настройках сервера, DLE в это не вмешивается. Но в данном случае для HTML ваш сервер настроен правильно, так делается например чтобы после того как вы добавите это на сайт пользователи это сразу увидели на вашем сайте. Чтобы например не получилось что вы добавили новость, а пользователи это увидят например это через неделю, потому что на неделю браузер закешировал страницу целиком. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.