Здравствуйте, возможен ли перехват Cookie через трафик? Ведь php это серверный язык, и по сути он генерирует трафик который отсылает на клиент(браузер), где уже и происходит установка "печеньки". Правильно? Т.е. злоумышленник может перехватывать "печеньки"?
"Человек посередине" конечно может всё. Защищенное соединение уменьшает риск, т.к. браузер скорее всего выдаст предупреждение. Но пользователь, очень вероятно, проигнорирует его )))
Если честно, я увлекся шифрованием сообщений чутка, чисто интересно стало. Взял за основу Anubis, просто как удобный инструмент шифрования, и тут встал вопрос о сохранении ключа, как я понял оставлять его в cookie бесполезно. Было бы идеально если бы трафик с ключём не уходил, и он просто генерировался и оставался на клиенте, да, можно сделать через JS, однако тогда любой узнает как генерируется ключ и как он спрятан, и распознать при передаче на сервер будет легко. Вот собственно и интересно как защитить ключ, или есть ли какие-то другие способы. Может существуют проверенные методы, хотя если они и существуют думаю уже давно были вскрыты опытными хацкерами)
Так какая конкретная задача? Ключ можно оставить на клиенте в Web Storage, или использовать https. Генерировать ключ от пароля, чтобы не передавать пароль в открытом в виде, а только его хэш например. На JS есть библиотека для RSA.