可能是非常基本的问题,但在阅读类似的问题和答案之后我有点困惑,所以希望得到更多的澄清。
如果我有一个非安全页面,并且有一个表单可以发布到受保护的页面,那么数据会在提交后加密吗?
实施例: http://example.com/login.php
有一个发布到安全页面的表单:
https://example.com/do.php“method =”post“> .....
这足以使它成为一个安全的帖子或初始页面也必须是安全的吗?没有ajax或任何东西,只是php ...
答案 0 :(得分:1)
您通过SSL发布的任何内容都是安全的正在传输。但这不是你的问题所在。
如果您有一个不安全的页面http://example.com/login.php,攻击者可以在用户下载页面时更改页面,因为没有安全性(没有加密,没有完整性保护,没有)。攻击者可以更改表单以从登录明文发送凭据。或者将其发送给攻击者的服务器。或者注入任何javascript,例如在按下键时向攻击者发送每次击键。攻击者可以完全控制通过普通http。
为什么攻击者会在下一篇文章中加密加密?在该帖子发生之前,他已经可以获得所有信息。
简而言之,如果原始页面是通过普通的http下载的,那么(几乎)没有必要通过ssl发出后续请求 - 攻击者已经知道ssl请求中的任何内容。 (请注意,某些特殊情况可能是例外情况,但一般来说情况就是这样。)
一个值得注意的例外是,当它不是需要保护的请求,而是响应 - 将在ssl交换中加密,我认为不同的协议,https vs http将被视为不同的原因,即使将javascript注入原始纯文本页面,也很难从响应中获取信息。但这不是login.php的假设功能的情况 - 必须通过https提供。