过去有几位安全专家说过,登录页面应该在 ssl https 上。那么,如果我的登录是一个显示在所有页面上的 block 怎么办。这是否意味着我的整个网站都必须是 https?
我读到可以将表单放在 http 上但将其发布到 https,但我读到有人说它可以被中间人利用。有人可以证实这一点吗?对于可以确认这一点的人,我有 100 分的赏金(并帮助我提供如何安全解决此问题的实用答案)。我的登录表单在每个页面上,我需要在 https 上制作整个网站吗?请随时质疑我在这里所说的任何内容。它们只是我读过但没有经验也没有亲自尝试过的东西。
编辑:对于那些询问的人,当我发布问题时,我尝试设置赏金,但系统不允许我这样做。我查看了常见问题解答,发现可以在发布问题 2 天后发布赏金。这就是为什么你还没有看到赏金。但我不会选择答案,直到我在 2 天内设置赏金。很抱歉有任何混淆。
最佳答案
I read it's possible to put the form on http but post it to https, but I read someone saying that it can be exploited with a man in the middle attack. Can someone confirm this?
是的。该表单通过 HTTP 提供,因此中间人可以向其注入(inject)更改(例如,它在表单提交之前将凭据发送到他们自己的服务器)。
a practical answer how to securely solve this
如果安全真的很重要——对整个站点使用 HTTPS。即使密码已发送,如果您返回 HTTP,cookie 也可能被盗(参见 Firesheep)
如果安全性不是那么重要,那么不要在每个页面上都放置登录表单。只需链接到登录页面即可。
关于php - 登录必须是 https 页面,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4309199/