¿Permitir cookies HTTPS pero no HTTP?

10

Quiero permitir cookies para un dominio pero solo a través de HTTPS, no cookies del mismo dominio que provienen de HTTP. Por ejemplo, no quiero ninguna http://www.google.comcookie, pero sí quiero permitirlas https://www.google.com(porque los calendarios están ahí).

¿Hay alguna forma de hacer esto? ¿El objetivo tiene sentido?

En Chrome, solo permite agregar nombres de dominio, no URL, a la lista de excepciones de cookies. En Firefox, permite un protocolo, pero solo registra el nombre de dominio, y si hace clic en "Permitir" o "Denegar", cambia la misma entrada en la lista.

— Conocer
fuente

3

Tal vez te importe; si es así, es posible que deba limitar su pregunta aún más: las cookies que se sirven a través de HTTPS, pero que no tienen el secureindicador establecido, también se enviarán de vuelta al servidor web cuando se utiliza HTTP simple.

— Arjan

6

NoScript para firefox resuelve este problema:

http://noscript.net/faq#qa6_1 (últimas tres líneas del párrafo)

Detalles aquí: http://hackademix.net/2008/09/10/noscript-vs-insecure-cookies/

— Shadok
fuente

+1: iba a sugerir construir una extensión, pero parece que ya existe una.

— jmort253

Y NoScript es muy bueno, eche un vistazo a sus registros de cambios si quiere saber que no sabe nada de la seguridad de JavaScript ^^

— Shadok

2

¿Hay alguna forma de hacer esto?

Privoxy puede hacer esto por usted y funciona para los navegadores de los que cambia el proxy.

Como no maneja el tráfico HTTPS , solo filtrará el tráfico HTTP, puede usar el crujido de cookies

El archivo user.action debería ser similar a este:

{ +crunch-incoming-cookies +crunch-outgoing-cookies }
/ # Match all URLs

¿El objetivo tiene sentido?

Aunque lo hará más seguro, no veo la necesidad de hacerlo.

También podría romper algunos sitios que usa a diario, pero Privoxy le permite permitir esos sitios ...

— Tamara Wijsman
fuente