Zezwolić na pliki cookie HTTPS, ale nie HTTP?

10

Chcę zezwolić na pliki cookie dla domeny, ale tylko przez HTTPS - nie ciasteczka z tej samej domeny, które pochodzą z HTTP. Na przykład nie chcę żadnych http://www.google.complików cookie, ale chcę zezwolić na https://www.google.compliki cookie (ponieważ istnieją tam kalendarze).

Czy jest na to sposób? Czy cel w ogóle ma sens?

W Chrome pozwala tylko dodawać nazwy domen, a nie adresy URL, do listy wyjątków plików cookie. W przeglądarce Firefox zezwala na protokół, ale rejestruje tylko nazwę domeny, a jeśli klikniesz „Zezwól” lub „Odmów”, zmieni ten sam wpis na liście.

— Rozpoznać
źródło

3

Może to ma dla ciebie znaczenie; jeśli tak, to może być konieczne ograniczenie jeszcze bardziej pytania: pliki cookie, które są obsługiwane przez HTTPS, ale nie mają secureustawionej flagi, również zostaną odesłane z powrotem na serwer internetowy, gdy używasz zwykłego HTTP.

— Arjan

6

NoScript dla firefox rozwiązuje ten problem:

http://noscript.net/faq#qa6_1 (ostatnie trzy wiersze akapitu)

Szczegóły tutaj: http://hackademix.net/2008/09/10/noscript-vs-insecure-cookies/

— Shadok
źródło

+1 - Chciałem zaproponować zbudowanie rozszerzenia, ale wygląda na to, że już istnieje.

— jmort253

NoScript jest bardzo dobry, zajrzyj do ich dzienników zmian, jeśli chcesz się dowiedzieć, że nie wiesz nic na temat bezpieczeństwa javascript ^^

— Shadok

2

Czy jest na to sposób?

Privoxy może to zrobić dla Ciebie i działa w przeglądarkach, w których zmieniasz proxy.

Ponieważ nie obsługuje ruchu HTTPS , będzie filtrował tylko ruch HTTP, możesz użyć crunch cookie

Plik user.action powinien wyglądać podobnie do tego:

{ +crunch-incoming-cookies +crunch-outgoing-cookies }
/ # Match all URLs

Czy cel w ogóle ma sens?

Chociaż zapewni ci większe bezpieczeństwo, nie widzę potrzeby, aby to robić.

Równie dobrze możesz zepsuć niektóre strony, z których korzystasz na co dzień, ale Privoxy pozwala ci na zezwolenie tym stronom ...

— Tamara Wijsman
źródło