SSL登錄結構

Question

我只有會員名人照片和視頻畫廊，僅限媒體專業人士。它安裝在專用服務器上，我最近安裝了通配符SSL證書。

我有一個主要的公共網站，廣告我們的服務，託管註冊表格，並有安全的登錄表單。登錄表單，提交的時候，去到相同的服務器，而是一個不同的帳戶/目錄下，就像這樣：

From: https://www.mydomain.com/login 
To: https://subdomain.mydomain.com/login 

...然後登錄細節得到處理。

當我登錄頁面到達時，是否需要在https://上，或者我的登錄表單是否需要action="https://..."才能使其安全？我不熟悉SSL的工作原理。

Answer 1

如果登錄頁面的登錄頁面不是https，那麼攻擊者可以提供他們想要的wahtever，然後將頁面重寫爲http。 SSLStrip是攻擊者可以用來執行此攻擊的工具。

但更重要的是，誰在乎登錄頁面？確保它應該受到保護，但用戶名和密碼不是瀏覽器認證的方式。瀏覽器使用cookie來驗證您的網絡應用程序，這是真正的身份驗證令牌。如果您通過https登錄，然後在幾秒鐘後泄露身份驗證令牌，則這並不意味着什麼。整個會話的必須超過https，否則您將違反owasp a9。