1
使用用戶名/密碼登錄的網站顯然需要通過https運行登錄過程。僅在使用OpenID時是否適用,或者使用https的提供商是否足以確保安全?使用OpenID進行登錄的頁面是否需要通過https提供服務?
A
回答
1
一切仍然必須是HTTPS才能保證安全。否則,攻擊者可以攔截用戶提供的OpenID字符串,並將其替換爲他們自己的惡意OpenID服務器。這會很糟糕,並且會欺騙所有人,但最聰明的用戶將他們的密碼輸入到錯誤的服務器中。
他們甚至可以用真實的OpenID服務器替換您的客戶端,並讓客戶端(無效)在返回到您的網站之前登錄...如果他們這樣做,他們不會偷用戶的密碼,但他們仍然有一個後門進入他們的帳戶。
也許更重要的是,如果您不使用HTTPS,則您發送的會話cookie不安全。所以攻擊者可以等待,直到用戶登錄,然後竊取他們的會話。
相關問題
- 1. 如何配置nodejs/expressjs通過https爲頁面提供服務?
- 2. OAuth:我是否需要通過HTTPS對HMAC-SHA1進行加密
- 3. OpenID註銷。我只需要身份驗證不登錄OpenID提供商
- 4. 服務提供者登錄頁面的彈簧庫
- 5. 如何確保Apache始終通過HTTPS爲單個頁面提供服務?
- 6. 每個AJAX頁面是否需要驗證用戶登錄?
- 7. 使用HTTPS登錄的Phonegap頁面
- 8. IIS 6完全需要爲cshtml頁面提供服務嗎?
- 9. 通過tcp.net運行的WCF服務是否需要IIS
- 10. 在登錄頁面上使用http而不是https登錄頁面
- 11. 創建需要使用pdfkit登錄的https網頁的PDF
- 12. 如何檢測是否已經使用OpenID登錄並繞過網絡應用登錄頁面
- 13. 自發行OpenID提供VS OpenID提供
- 14. 通過提供憑據進行程序登錄
- 15. 需要登錄進行寫入訪問的後端即服務?
- 16. 使用命令行進行HTTPS登錄
- 17. 僅適用於登錄頁面的HTTPS - 是否推薦?
- 18. IIS7是否需要web.config來爲PHP網站提供服務?
- 19. MVC頁面,需要用戶登錄
- 20. Google是否提供可以發佈wiki頁面的服務?
- 21. 通過cookie登錄頁面
- 22. JMX提供者(或應用程序服務器)是否需要使用JMX?
- 23. SimpleSAMLphp前端是否需要啓動以使服務提供者像服務提供者那樣工作?
- 24. 如何在依賴方的登錄頁面上列出我的OpenID提供者?
- 25. 從Android應用程序的Django後端檢索頁面,頁面需要使用OpenID登錄
- 26. Django的OpenID服務器/提供程序
- 27. Google API OAuth是否需要使用網頁登錄?
- 28. 需要登錄的頁面上的file_get_contents
- 29. 當通過node.js服務器提供頁面時壓縮內容
- 30. 使用過濾器來爲特定頁面提供服務?