想知道爲HTTP站點創建HTTPS登錄環境是否有安全優勢?HTTPS登錄到HTTP站點
由於各種原因,使整個網站的HTTP不是真的一個選項,我只是想知道是否值得花費精力來提供HTTPS登錄,即使用戶將在其中登錄時間的其餘部分非HTTPS環境?
我做了一些Google搜索,發現將http登錄到https不是很安全,但一直沒有找到一個可靠的方案。
這種設置是否需要兩種類型的會話數據:包含更多私人信息的安全數據以及包含用戶和登錄用戶的更基本會話,或者這可以安全地使用一個會話數據?
我試圖解釋爲什麼HTTPS的整個網站將低於最佳:
比方說,你建立了網站上的兩頁通過HTTPS可用:
/login.php
/loginhandler.php
login.php包含用戶輸入用戶名/密碼的登錄表單,並且此表單將提交至loginhandler.php。
這樣,當用戶請求login.php時,客戶網絡上的任何人都無法修改此表單,因爲它通過HTTPS提供服務。
你loginhandler.php也通過HTTPS服務,所以任何客戶的網絡上沒有人能夠看到用戶名/密碼登錄時,他們向服務器發送
但是:。
如果網站的「已登錄」內容的其餘部分不在HTTPS中,攻擊者將能夠注入任何他想要的內容(並查看登錄用戶請求的所有內容)。例如,他可能會在任何頁面上注入「您已註銷,請提供您的登錄詳細信息:(表單)」信息,其中表單將提交給他自己的服務器而不是您的服務器。那麼用戶的密碼將被泄露。
攻擊者還可以在用戶訪問/login.php之前將惡意注入網站的索引,將其重定向到其他網站,甚至可以更改您網站上登錄按鈕的地址。
編輯/ A注OM MitM attacks:
人在這方面的中間人攻擊,如果攻擊者對網絡的控制纔有效。 這可能包括(但不限於):您的ISP,您的僱主在工作,您的鄰居,如果您連接到他的網絡等。
最後,如果攻擊者想要在網站上注入(更改)內容他需要針對特定的網站(當然這可以是自動化的,通常是針對大量網站)。監聽數據比修改數據容易得多。
這給了我幾乎所有我想知道的每個問題,並且非常簡潔。感謝大家花時間寫出來! – Spooler
網站的登錄頁面肯定是通過https發送的最重要的頁面之一,因爲它有助於防止用戶通過登錄表單提交時截獲的用戶密碼。
那麼值得只爲登錄入口做什麼呢? 對於應該如何處理會話數據你有什麼想法嗎? – Spooler
任何具有任何登錄類型的站點(權限發佈,修改等),您應該在登錄用戶訪問的每個頁面上使用HTTPS,包括登錄頁面 – TRGWII
我完全同意您的看法,但這不是一種選擇這個案例。最好的情況就像我剛纔提到的那樣,我已經不得不努力避免密碼散列,而不是性能原因或任何明智的網站所有者真正愚蠢的迷戀。 基本上我知道我的建議並不理想,這只是我能想到的最好的事情,可以實際發生。 – Spooler
至少它會提高安全性,但不是太多,您的網站仍然會受到攻擊。 – TRGWII