我有一个仅限成员(member)的名人照片和视频画廊,仅供媒体专业人士使用。它安装在专用服务器上,我最近安装了通配符 SSL 证书。
我有一个主要的公共(public)网站,用于宣传我们的服务、托管注册表单和安全登录表单。登录表单在提交后会转到同一台服务器,但会转到不同的帐户/目录,如下所示:
From: https://www.mydomain.com/login
To: https://subdomain.mydomain.com/login
...然后登录详细信息得到处理。
当他们到达时,我的登录页面是否需要在 https:// 上,或者我的登录表单是否需要 action="https://..."以使其安全?我不熟悉 SSL 的工作原理。
最佳答案
如果具有登录表单的登录页面不是 https,那么攻击者可以提供他们想要的任何内容,只需将页面重写为 http。 SSLStrip是攻击者可以用来执行此攻击的工具。
但更重要的是,谁在乎登录页面呢?当然它应该受到保护,但用户名和密码不是浏览器进行身份验证的方式。浏览器使用 cookie 对您的网络应用程序进行身份验证,这是真正的身份验证 token 。如果您通过 https 登录然后在几秒钟后泄露身份验证 token ,这真的没有任何意义。 整个 session 必须通过 https 否则您将违反 owasp a9 .
关于security - SSL登录结构,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8350523/