После входа в систему все страницы должны быть https?
Это будет немного трудно объяснить, но я буду стараться изо всех сил.
Существует веб-сайт, который имеет форму входа в систему на каждой странице с полями имени пользователя/пароля. Эти страницы не используют SSL. После того, как пользователь заполняет имя пользователя/пароль и отправляет форму, форма отправляется в страницу аутентификации, которая является https.
У меня есть несколько вопросов об этой ситуации.
- При представлении формы https странице шифруются данные? Или только после движения от https страницы (я принимаю только движение от)?
- Если бы ответ на номер один является лестничной структурой, это означает, что я должен был бы использовать https для всех страниц, потому что форма входа в систему перенаправляется оттуда?
- После того, как пользователь аутентифицируется с помощью https, пользователь может быть перенаправлен назад к http и продолжить использовать данные сессии? Или пользователь должен остаться в https?
- Действительно ли лучше/хуже оставить пользователя в https?
Большое спасибо за любую справку!
Столица
ЗАКЛЮЧЕНИЕ
Хорошо, поэтому после размышления об этом некоторое время я решил просто сделать все это https. @Mathew + @Rook, Ваши ответы были и большими, и я думаю, что Вы оба делаете большие точки. Если я был в другой ситуации, я, возможно, сделал это по-другому, но здесь являюсь моими причинами того, чтобы сделать все это https.
- Будет легче управлять запросами страницы, так как я только должен остаться в https.
- Я не чрезмерно обеспокоен производительностью (в другой ситуации, которой я, возможно, был),
- Я не должен буду задаваться вопросом, защищаются ли пользовательские данные во всех местах
- Я буду следовать инструкции OWASP как указанный Грач
4 ответа
Согласно Топ-10 OWASP ни в коем случае не может использовать аутентифицированный идентификатор сеанса через HTTP. Таким образом, вы создаете сеанс через HTTP, а затем этот сеанс становится аутентифицированным, затем вы нарушаете OWASP Top 10 и позволяете своим пользователям быть уязвимыми для атак.
Я рекомендую установить флажок безопасности для вашего файла cookie . Это ужасное название для этой функции, но оно заставляет файлы cookie быть только https. Его не следует путать с «Httponly cookies», который представляет собой другой флаг, который помогает смягчить влияние xss.
Чтобы убедиться, что ваши пользователи в безопасности, я бы постоянно заставлял использовать HTTPS. ssl - очень легкий протокол, если вы столкнетесь с проблемами ресурсов, подумайте о том, чтобы связать свои политики https.
- Да. Если URL-адрес действия - https, данные формы зашифровываются.
- Из-за №1 вам не нужно делать страницу https, но вы можете получить предупреждения о смешанном содержании. И, конечно же, злоумышленник может манипулировать страницей входа в систему, чтобы указать на другой URL-адрес действия.
- Это ваше решение. Очевидно, что любые данные, передаваемые через HTTP, будь то файлы cookie (включая файлы cookie сеанса) или пользовательские данные, могут быть перехвачены и обработаны.
- Опять же, это компромисс, основанный на производительности и безопасности.
В дополнение к тому, что говорит Ладья, отправка формы с http на https представляет собой риск по двум причинам:
- На странице, где люди вводят текст, нет значка «замок». в своем имени пользователя и пароле, поэтому у них нет возможности узнать, что их данные зашифрованы (кроме как «доверять вам»)
- . Если кто-то захватит вашу страницу, ваши пользователи не смогут узнать, что они собираются ввести в их имени пользователя и пароле и будут перенаправлены на вредоносную страницу (это в некотором роде следствие пункта №1).
Это гораздо более простая атака, чем перехват http cookie, поэтому на самом деле это даже больший риск ...
Но точка Ладьи важна: вы не должны никогда смешивать трафик http и https. На наших веб-сайтах, как только вы войдете в систему, с этого момента все будет https.
Помимо предыдущих ответов, поскольку люди обычно хотят перейти с HTTPS на HTTP по причинам производительности, эта статья о HTTPS в Google может представлять интерес. Ее основная мысль такова:
SSL/TLS не является вычислительно больше не является вычислительно дорогим.