我想通过将用户重定向到https://secure.domain.com/login然后成功登录来保护登录,将它们重定向回一个简单的http网站,带来与他们的会话。这样安全吗?我应该购买多域计划,以便保护子域和父域吗?我很困惑。
TL; DR - 将登录会话从HTTPS传输到HTTP安全吗?
答案 0 :(得分:1)
将登录会话从HTTPS传输到HTTP安全吗?
没有
您有两个数据流。一个是用于身份验证的服务器的{username,password}。第二个是返回给客户端的令牌或cookie(以及客户端在后续请求时将其发送到服务器)。
第一个数据流受HTTPS保护,其正常(有些人放弃)。
后续数据流使用HTTP,因此任何处于适当位置的人都可以阅读并随后使用令牌或cookie。
由于降级攻击(或者更糟糕的是)混合和匹配HTTP / HTTPS也很糟糕。例如,请参阅Why is TLS susceptible to protocol downgrade attacks?。