Cookie có phân biệt theo port?
Web
23
White

Bùi Hồng Hà viết ngày 19/09/2015

Mình gặp vấn đề trong phát triển web là: cho một user đăng nhập trên một hệ thống có thể sử dụng được dịch vụ của một hệ thống web khác. 2 hệ thống này cùng domain nên mình biết là chúng chia sẻ cùng cookie (giống như các dịch vụ của google chia sẻ cùng 1 cookie). Tuy vậy trên môi trường phát triển, mình phải kiểm tra 2 dịch vụ bằng cách cho chúng chạy ở 2 cổng khác nhau, và mình thắc mắc liệu cookie có phân biệt theo số cổng của dịch vụ hay không?

Những lúc thế này không cách nào tốt hơn là tra cứu: RFC.

Sau khi search thử RFC thì thấy RFC số 6265 nói về "HTTP State management Mechanism" có đề cập đến trường hợp này.

Cụ thể ở mục 8, trang số 29, mục 8.5 có nói về các vấn đề liên quan đến an toàn thông tin của cookie có đề cập 1 ý như sau:

8.5. Weak Confidentiality
Cookies do not provide isolation by port. If a cookie is readable by
a service running on one port, the cookie is also readable by a
service running on another port of the same server. If a cookie is
writable by a service on one port, the cookie is also writable by a
service running on another port of the same server. For this reason,
servers SHOULD NOT both run mutually distrusting services on
different ports of the same host and use cookies to store security-
sensitive information.

Nếu cookie có thể được đọc ghi bằng 1 dịch vụ trên một cổng, cookie đó cũng có thể được đọc ghi trên 1 dịch vụ của một cổng khác cùng máy chủ. Nghĩa là: cùng một domain thì cookie sẽ được chia sẻ. Ý trên cũng chỉ ra một điểm trong thiết kế hệ thống là ta không nên chạy dịch vụ không tin tưởng trên cùng 1 host và lưu thông tin nhạy cảm trong cookie.

Trả lời cho câu hỏi trong tựa đề:

Q: Cookie có phân biệt theo port?
A: Không.

Còn khá nhiều các chi tiết nữa về cookie được đề cập trong RFC 6265, các bạn xem thêm để biết thêm chi tiết nhé.

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Bùi Hồng Hà

59 bài viết.
262 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
74 8
Bài viết tổng hợp cơ chế hoạt động của https Chút ít về chữ ký điện tử Chữ ký điện tử là cơ chế bao gồm 3 thuật toán: Thuật toán chọn một khóa...
Bùi Hồng Hà viết gần 3 năm trước
74 8
White
43 7
Giới thiệu Gần đây thấy bản thân chém gió rất nhiều về MapReduce, Hadoop v.v nhưng chưa thấy có bài viết nào tổng hợp + giải thích cụ thể về MapRe...
Bùi Hồng Hà viết 2 năm trước
43 7
White
33 0
Giới thiệu Google là một công ty dẫn đầu về phần mềm xử lý Big Data. Hầu hết các phần mềm xử lý dữ liệu như Hadoop đều có nguồn gốc ý tưởng từ Goo...
Bùi Hồng Hà viết 2 năm trước
33 0
Bài viết liên quan
White
21 8
Lâu không post gì muốn viết một bài dài dài về js cơ mà đau đầu quá viết mãi không xong, thôi post bài ngắn vậy :smiley: Lấy screen size ở đây tôi...
Hoàng Duy viết hơn 2 năm trước
21 8
White
12 2
Trong loạt bài Trở lại cơ bản này mình xin trình bày lại các khái niệm cơ bản về tất cả mọi thứ mình đã từng được học bằng ngôn ngữ đơn giản nhất c...
Hoàng Duy viết hơn 1 năm trước
12 2
White
21 10
Bài này mình dịch từ bài viết sau : http://kakubei.blogspot.com/2012/05/whyihaterails.html Bản thân mình cũng đang sử dụng Rails trong công việc, ...
Duy Anh viết hơn 2 năm trước
21 10
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
59 bài viết.
262 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!