Это будет немного трудно объяснить, но я буду стараться изо всех сил.
Существует веб-сайт, который имеет форму входа в систему на каждой странице с полями имени пользователя/пароля. Эти страницы не используют SSL. После того, как пользователь заполняет имя пользователя/пароль и отправляет форму, форма отправляется в страницу аутентификации, которая является https.
У меня есть несколько вопросов об этой ситуации.
Большое спасибо за любую справку!
Столица
ЗАКЛЮЧЕНИЕ
Хорошо, поэтому после размышления об этом некоторое время я решил просто сделать все это https. @Mathew + @Rook, Ваши ответы были и большими, и я думаю, что Вы оба делаете большие точки. Если я был в другой ситуации, я, возможно, сделал это по-другому, но здесь являюсь моими причинами того, чтобы сделать все это https.
Согласно Топ-10 OWASP ни в коем случае не может использовать аутентифицированный идентификатор сеанса через HTTP. Таким образом, вы создаете сеанс через HTTP, а затем этот сеанс становится аутентифицированным, затем вы нарушаете OWASP Top 10 и позволяете своим пользователям быть уязвимыми для атак.
Я рекомендую установить флажок безопасности для вашего файла cookie . Это ужасное название для этой функции, но оно заставляет файлы cookie быть только https. Его не следует путать с «Httponly cookies», который представляет собой другой флаг, который помогает смягчить влияние xss.
Чтобы убедиться, что ваши пользователи в безопасности, я бы постоянно заставлял использовать HTTPS. ssl - очень легкий протокол, если вы столкнетесь с проблемами ресурсов, подумайте о том, чтобы связать свои политики https.
В дополнение к тому, что говорит Ладья, отправка формы с http на https представляет собой риск по двум причинам:
Это гораздо более простая атака, чем перехват http cookie, поэтому на самом деле это даже больший риск ...
Но точка Ладьи важна: вы не должны никогда смешивать трафик http и https. На наших веб-сайтах, как только вы войдете в систему, с этого момента все будет https.
Помимо предыдущих ответов, поскольку люди обычно хотят перейти с HTTPS на HTTP по причинам производительности, эта статья о HTTPS в Google может представлять интерес. Ее основная мысль такова:
SSL/TLS не является вычислительно больше не является вычислительно дорогим.