3
ColdFusion 세션은 CFID, CFTOKEN 및 jsessionid 값의 조합으로 지원됩니다. cfm 페이지가 처음 히트 될 때이 값들이 설정되어 SESSION이 생성됩니다.ColdFusion에서 http에서 https로 전환 한 후 세션 토큰을 다시 설정해야합니까?
제 질문은 SESSION이 HTTP에서 생성 된 다음 HTTPS에서 로그인 페이지로 이동하기 위해 링크를 클릭하면 SESSION 토큰 값이 http에서 생성 되었기 때문에 손상된 것입니다 (즉, 일반 텍스트로 전달됨). 요청의 일부로).
공공 라우터를 천천히 스니핑하는 누군가가 그 값을 얻은 다음 세션을 스푸핑 할 수 있다고 생각합니다. 희소 한 사건 일 것입니다, 그렇지만 그럼에도 불구하고 걱정이됩니다.
오프 - 핸드 답변을 모르겠지만 테스트하기가 매우 쉽습니다. 로그인 페이지에 세션 vars를 덤프하십시오. 그들이 존재한다면 당신은 그들이 이적한다는 것을 알고 있습니다. 로그인시 세션을 삭제하고 새 세션을 시작하는 것도 어렵지 않습니다. – invertedSpear