Cookie có phân biệt theo port?
Web
24
White

Bùi Hồng Hà viết ngày 19/09/2015

Mình gặp vấn đề trong phát triển web là: cho một user đăng nhập trên một hệ thống có thể sử dụng được dịch vụ của một hệ thống web khác. 2 hệ thống này cùng domain nên mình biết là chúng chia sẻ cùng cookie (giống như các dịch vụ của google chia sẻ cùng 1 cookie). Tuy vậy trên môi trường phát triển, mình phải kiểm tra 2 dịch vụ bằng cách cho chúng chạy ở 2 cổng khác nhau, và mình thắc mắc liệu cookie có phân biệt theo số cổng của dịch vụ hay không?

Những lúc thế này không cách nào tốt hơn là tra cứu: RFC.

Sau khi search thử RFC thì thấy RFC số 6265 nói về "HTTP State management Mechanism" có đề cập đến trường hợp này.

Cụ thể ở mục 8, trang số 29, mục 8.5 có nói về các vấn đề liên quan đến an toàn thông tin của cookie có đề cập 1 ý như sau:

8.5. Weak Confidentiality
Cookies do not provide isolation by port. If a cookie is readable by
a service running on one port, the cookie is also readable by a
service running on another port of the same server. If a cookie is
writable by a service on one port, the cookie is also writable by a
service running on another port of the same server. For this reason,
servers SHOULD NOT both run mutually distrusting services on
different ports of the same host and use cookies to store security-
sensitive information.

Nếu cookie có thể được đọc ghi bằng 1 dịch vụ trên một cổng, cookie đó cũng có thể được đọc ghi trên 1 dịch vụ của một cổng khác cùng máy chủ. Nghĩa là: cùng một domain thì cookie sẽ được chia sẻ. Ý trên cũng chỉ ra một điểm trong thiết kế hệ thống là ta không nên chạy dịch vụ không tin tưởng trên cùng 1 host và lưu thông tin nhạy cảm trong cookie.

Trả lời cho câu hỏi trong tựa đề:

Q: Cookie có phân biệt theo port?
A: Không.

Còn khá nhiều các chi tiết nữa về cookie được đề cập trong RFC 6265, các bạn xem thêm để biết thêm chi tiết nhé.

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Bùi Hồng Hà

59 bài viết.
297 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
79 8
Bài viết tổng hợp cơ chế hoạt động của https Chút ít về chữ ký điện tử Chữ ký điện tử là cơ chế bao gồm 3 thuật toán: Thuật toán chọn một khóa...
Bùi Hồng Hà viết hơn 3 năm trước
79 8
White
45 7
Giới thiệu Gần đây thấy bản thân chém gió rất nhiều về MapReduce, Hadoop v.v nhưng chưa thấy có bài viết nào tổng hợp + giải thích cụ thể về MapRe...
Bùi Hồng Hà viết gần 3 năm trước
45 7
White
37 0
Giới thiệu Google là một công ty dẫn đầu về phần mềm xử lý Big Data. Hầu hết các phần mềm xử lý dữ liệu như Hadoop đều có nguồn gốc ý tưởng từ Goo...
Bùi Hồng Hà viết gần 3 năm trước
37 0
Bài viết liên quan
White
33 8
Lâu không post gì muốn viết một bài dài dài về js cơ mà đau đầu quá viết mãi không xong, thôi post bài ngắn vậy :smiley: Lấy screen size ở đây tôi...
Hoàng Duy viết 3 năm trước
33 8
White
13 3
Trong loạt bài Trở lại cơ bản này mình xin trình bày lại các khái niệm cơ bản về tất cả mọi thứ mình đã từng được học bằng ngôn ngữ đơn giản nhất c...
Hoàng Duy viết hơn 2 năm trước
13 3
White
13 3
(Ảnh) "Mobile first" hay "Think mobile" là một trong những hot trend mà chúng ta thường được nghe gần đây, khi mà số lượng thiết bị di động và số ...
Trần Phong Phú viết 5 tháng trước
13 3
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
59 bài viết.
297 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!