Permitir cookies HTTPS, mas não HTTP?

10

Desejo permitir cookies para um domínio, mas apenas por HTTPS - não cookies do mesmo domínio que vêm do HTTP. Por exemplo, não quero http://www.google.comcookies, mas quero permitir https://www.google.comcookies (porque os Calendários estão lá).

Existe uma maneira de fazer isso? O objetivo ainda faz sentido?

No Chrome, ele permite que apenas nomes de domínio, e não URLs, sejam adicionados à lista de exceções de cookies. No Firefox, ele permite um protocolo, mas registra apenas o nome de domínio e, se você clicar em "Permitir" ou "Negar", ele altera a mesma entrada na lista.

— Ken
fonte

3

Talvez isso importe para você; nesse caso, talvez seja necessário limitar ainda mais sua pergunta: os cookies que são servidos por HTTPS, mas que não possuem o securesinalizador definido, também serão enviados de volta ao servidor da Web ao usar HTTP simples.

— Arjan 18/01

6

O NoScript para firefox resolve este problema:

http://noscript.net/faq#qa6_1 (últimas três linhas do parágrafo)

Detalhes aqui: http://hackademix.net/2008/09/09/noscript-vs-insecure-cookies/

— Shadok
fonte

+1 - Eu sugeria a criação de uma extensão, mas parece que uma já existe.

— precisa saber é o seguinte

E NoScript é um muito bom, ter um olhar para os seus changelogs se você quer saber que você não sabe nada à segurança javascript ^^

— Shadok

2

Existe uma maneira de fazer isso?

O Privoxy pode fazer isso por você e funciona nos navegadores dos quais você altera o proxy.

Como ele não lida com tráfego HTTPS, ele filtra apenas o tráfego HTTP, você pode usar a trituração de cookies

O arquivo user.action deve ser semelhante a este:

{ +crunch-incoming-cookies +crunch-outgoing-cookies }
/ # Match all URLs

O objetivo ainda faz sentido?

Embora isso o torne mais seguro, não vejo a necessidade de fazê-lo.

Você também pode quebrar alguns sites que usa diariamente, mas o Privoxy permite que você permita esses sites ...

— Tamara Wijsman
fonte