页面上的密码字段和SSL证书

时间:2014-06-19 04:02:52

标签: php ssl

我有一个安全问题。如果页面上有可用的模式需要用户名和密码的登录框,那么您的网页必须是https(SSL证书)吗?或者只是登录资产必须在https上?

我的网站有可浏览的内容,无需登录即可访问,但登录选项可在每个页面的标题中找到。

我的网站有一个类似于www.fab.com的登录名(可浏览的内容以及登录选项)。

由于内容混合,我遇到了Firefox禁用功能的问题,即使我正在采取措施删除资产链接中的协议。

提前致谢!

3 个答案:

答案 0 :(得分:0)

首先,security.stackexchange.com可能是一个提出这个问题的好地方。 但是对于您的问题:SSL(https)提供对等和端到端加密的标识。因此,如果您使用https提交数据,您可以确定,没有人操纵提交的数据。

但是,如果你也没有通过https加载表单,那么有人可能会操纵它,比如更改提交目标。因此,您不应该使用http提供敏感表单,而是提交给https。

除此之外,攻击者仍有足够的方式获取数据:

  • 操纵通过http提供的页面以包含表单,即使原始页面没有表单也是如此。特别是对于登录表单,这会欺骗很多用户。所以你最好用https服务一切。
  • 通过滥用广告位置等方式在您的网页中投放虚假表单。因此,您最好不要在网页上添加任何第三方脚本(广告,跟踪,社交...),如果您使用广告,则将其限制为iframe放置,以便他们永远不会通过显示虚假表格欺骗用户
  • 可能还有更多

答案 1 :(得分:0)

  

如果页面上有可用的模式需要用户名和密码的登录框,那么您的网页必须是https(SSL证书)吗?或者只是登录资产必须在https上?

这取决于数据流。一个数据流是:

      Client                          Server
===================================================

username, password    ----->

{username,password}对是有价值的,因此必须加以保护。您可以使用HTTPS完成整个站点,只需使用Socket.IO或WebSocket进行登录,只要使用HTTPS或WSS即可。

需要注意的另一个数据流是返回的令牌或cookie:

      Client                          Server
===================================================

                      <-----     token or cookie

令牌或cookie具有价值,因为它提供后续访问,因此它也需要受到保护。

如果您尚未创建分析数据流,那么这可能是件好事。

此外,由于降级攻击,您不应混用和匹配HTTP和HTTPS内容。这意味着一切都应该是HTTPS。

您还可以使用HSTSCSPs,WebApp Sandboxing等来应对。 HTML导入及其提供的XSS只会让情况变得更糟。

答案 2 :(得分:0)

如果您允许用户在每个页面上登录,我必须说您应该打开SSL。没有任何副作用,事实上你将有更多的机会让访问者信任无障碍访问你的网站。

如果我们在Mozilla Firefox上讨论混合内容错误,我建议您使用相对路径(<a href="/pages.html">)而不是绝对路径(强制整个网址(<a href="https://www.domain.com/pages.html">)来开发您的网站。关注网址获得有关此问题的简短解决方案:https://www.clickssl.com/blog/how-to-stop-secure-and-nonsecure-items-warning-on-your-site

相关问题
最新问题