如果我试图保护我的登录方法。用户从不安全的服务器将他们的登录凭据输入到标准的 HTML 表单中,该表单正在发布到安全服务器上的脚本。此脚本执行所有必要的登录功能,并将用户发送回不安全的服务器。
我的问题归结为:登录信息在发送到安全服务器之前是否通过 SSL 加密,从而防止任何中间人数据包嗅探。还是所有内容仍然以明文形式发送,执行 POST 的表单也必须托管在安全服务器上?
谢谢
最佳答案
如果您通过 SSL 发布,则信息将通过加密的线路传输并防止数据包嗅探。
是否可以在安全服务器上托管实际的登录表单页面?这样,当用户登录您的站点时,他们可以看到登录页面是安全的,并且他们可以确信他们的登录信息将使用 SSL 发布。否则,用户会看到一个未加密的页面,要求他们在其中输入他们的凭据,并且他们无法(除了查看 HTML 源代码之外)知道他们的信息是否将使用 SSL 提交。
我的另一个问题是不安全的服务器如何“知道”用户实际上已经通过安全服务器的身份验证?如果使用 cookie 或浏览器重定向(由于用户被发送回不安全的服务器,这两者都将未加密),那么该信息将很容易被网络上的任何人读取。这可能是一个安全漏洞,用户的凭据实际上是安全的,但您的应用程序/网站没有受到保护,不会被实际上没有进行身份验证的个人访问。
关于php - 安全登录,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/960990/