Выполняет вход в систему с https, но затем всем в http все немного бессмысленные?
Таким образом, Вы выполнили вход в систему с помощью https, чтобы предотвратить человека в средних нападениях и удостовериться, что пароль не представляется ясное. Хороший вызов. Но много сайтов затем переключаются назад на http для остальной части сессии.
После того как Вы обмениваетесь всем в ясном, не может человек в середине начинать угонять Вашу сессию снова? Хорошо, таким образом, у них нет Вашего пароля, но им не нужен он! Столько, сколько Вы остаетесь, вошел в систему, человек в середине может просто угнать Вашу сессию и отправить любые запросы, которые они хотят. Не могут они?
Какие меры помещаются на месте для предотвращения этого? Или это не на самом деле проблема из-за чего-то, что я пропустил? Или, это - просто приемлемый риск взять?
4 ответа
Это зависит от того, что ты подразумеваешь под бессмысленным. :) Вы правы, что в стандартной установке, где вы создаете сессию по HTTPS, а затем возвращаетесь к HTTP, но передаете сессионный cookie (скажем) с вашими запросами, что теоретический "парень в кафе" на самом деле может увидеть ваши данные и/или предпринять действия от вашего имени.
Недостатком использования all-SSL (HTTPS) традиционно является то, что это дорого с точки зрения вычислений на стороне сервера, так же, как и с точки зрения вычислений на стороне клиента. (Доллары и серверы для сайта, медленная загрузка страниц для вас.)
Поэтому запуск большей части сайта в явном виде традиционно считается "приемлемым риском" для большинства пользователей сети.
Два риска, с которыми вы сталкиваетесь, заключаются в том, что ваши данные будут видны другим, а другие смогут действовать в качестве вас (используя ваши файлы cookie, которые они могут украсть). При разработке нового сайта следует учитывать относительные риски, связанные с обоими этими факторами. Обратите внимание, что финансовые учреждения всегда будут обслуживать все свои страницы по HTTPS, потому что риск не приемлем - каждая страница содержит конфиденциальные данные, и даже подслушивание является плохим. Gmail предоставляет опцию opt-in для получения HTTPS и для всех сеансов. (Facebook, однако, этого не делает, как и, например, Yahoo! Mail).
Вы, наверное, заметили, что многие сайты, работающие в основном по HTTP, будут защищать критические изменения настроек с помощью повторной аутентификации пароля. Это одна из причин, почему они делают это: даже если парень в кафе может читать ваши сообщения на Facebook, он не может изменить ваш пароль и заблокировать вас, не зная ваш текущий пароль.
Философски, я думаю, что со временем все большее количество сервисов с частными данными пользователей будет вынуждено переходить на (или предлагать) all-HTTPS по мере того, как люди будут знать о рисках, а также с ростом использования общественных Wifi сетей.
.Вы можете заставить все запросы приходить с одного и того же IP-адреса, с которого была выполнена аутентификация. Думаю, это сильно усложнит перехват. Довольно много сайтов делают это или имеют возможность.
Если ваше рукопожатие https включало в себя обмен секретным ключом, то теоретически человек посередине может быть лишен возможности причинить какой-либо вред, передав соображения безопасности с транспортного уровня на прикладной.
Например, стороны могут включить номер последовательности сообщений, а также цифровую подпись с использованием общего ключа. Это предотвратило бы воспроизведение сообщений, подделку существующего сообщения и создание ложных сообщений
. нельзя использовать < > в python.
Небольшое объяснение может помочь. Обычно применяется для разделения последовательности элементов на набор аргументов функции. Таким образом, применение функции к некоторым аргументам означает передачу их в качестве аргументов функции в одном вызове функции.
Функция карты выполнит то, что нужно, создаст новую последовательность, подключив каждый элемент ввода к функции, а затем сохранит вывод. Он делает это лениво, так что значения будут вычисляться только тогда, когда вы действительно итерация по списку. Для этого можно использовать функцию (doall my-seq), но большую часть времени вам не нужно будет это делать.
Если вам необходимо немедленно выполнить операцию, поскольку она имеет побочные эффекты, такие как печать или сохранение в базе данных или что-то подобное, вы обычно используете doseq.
Таким образом, чтобы добавить "foo" ко всем вашим приложениям (предполагая, что они являются строками):
(map (fn [app] (str app "foo")) found-apps)
или использование shorhand для анонимной функции:
(map # (str% "foo") found-apps)
Выполнение того же, но немедленной печати можно выполнить с помощью одного из следующих способов:
-121--1329343-(doall (map # (println%) found-apps))
(doseq [app found-apps] (приложение println))
Сайты, которые так мало заботятся о безопасности, что не используют SSL последовательно, скорее всего, будут небезопасны различными способами. Например, они, вероятно, имеют саму форму входа, доставленную на незашифрованной странице. Злоумышленник может просто изменить место назначения сообщения в форме https на незашифрованное и теперь у него есть ваш пароль.
Как только вы обмениваетесь всем в прозрачный не может человек посередине начать захват сеанса снова?
Да.
Это как запереть входную дверь дома без наружных стен.
даже если парень в кофейне может читать ваши публикации на Facebook, он не удается изменить пароль и заблокировать вы вышли, не зная своего тока пароль
Может ли он принять на себя ваш файл cookie сеанса? Может ли он изменить ваш адрес электронной почты? Может ли он запросить адрес электронной почты для сброса пароля? Он может заставить тебя говорить глупости на общественных форумах? Вероятно.
Он, безусловно, может заменить каждую ссылку https на каждой странице на http. Google для "SSLStrip". Более чем вероятно, жертва никогда больше не окажется на странице https. Так что когда жертва нажимает на ссылку "сменить мой пароль", злоумышленник получает старые (и новые) пароли в ясном тексте.
- Болото