我想更安全地登录过程。为了实现它,我想开始使用https。我以前从未使用过它。
现在,在主页面上,用户可以看到登录链接,并且div已经与主页一起加载了登录表单。用户单击登录链接并立即查看LoginForm。在表单的动作属性中,我将从htts开始放置url。所以我的问题是:这些用户名和密码是否会受到受保护协议的发送?
P.S。我没有注册证书,因此大多数现代浏览器实际上都显示有关风险的页面......所以每个人通常如何解决这些问题?
答案 0 :(得分:1)
用户的登录详细信息将以加密方式发送,但由于您的主页未使用HTTPS,因此用户将看不到预期的挂锁符号,并且可能对使用该表单持谨慎态度。< / p>
换句话说:不使用View source,用户无法知道您的表单是否安全。
完成您正在做的事情的唯一完全安全且明显的方法是通过HTTPS提供任何提供登录表单的页面,例如。通过将http://mysite.com重定向到https://mysite.com。 Twitter就是这样做的网站的一个例子。
答案 1 :(得分:1)
整个HTTP请求将被加密,包括标题和查询参数(this answer中的更多详细信息)。
但是,您还应确保着陆页使用HTTPS。 HTTPS提供的安全性的一个要点是只有客户端才能真正检查它:用户必须首先通过用户界面查看它。您可以在this OWASP rule(和in this previous answer中找到类似问题的详细信息。)
关于您的证书的浏览器警告:您需要从大多数浏览器认可的CA获取证书。
答案 2 :(得分:0)
最好的办法是始终强制使用HTTPS,而不仅仅是登录,之后通常可以通过网络服务器配置来完成(你没有提到你正在使用的网络服务器)。
您需要由受信任的证书颁发机构颁发的证书,该证书通常需要花钱,但也有免费证书 - 例如StartSSL(我与他们没有任何关系)。