过去,只要我开发了一个带有安全身份验证的系统,我就在整个应用程序中使用了ssl,以便加密服务器之间的所有连接。但是,我目前正在开发的应用程序并不需要这样 - 只需要对付款流程和登录进行加密。
登录的风格与Facebook类似 - 用户名和密码在索引页面上,但我不希望使用ssl加密此页面,因为它会减慢交付时间。如果你看看facebook他们有相同的页面,索引页面不是ssl。但是当你真正登录时,他们会将你转移到一个ssl子域并在那里进行身份验证。
我的问题:当我的用户点击登录然后被转移到安全子域时,在以纯文本格式发送详细信息时是不是有一点?他们如何设法确保这一点?
由于
答案 0 :(得分:1)
没有。如果登录表单提交到https地址,则表单详细信息在发送到安全服务器之前会被加密。
答案 1 :(得分:0)
Zaf对传输前加密的数据是正确的
但是通过https发送登录表单本身就有其优点。在用户提供任何凭据之前,浏览器可以检查该文档的来源
例如。当我使用google's login form时,还有一个蓝色区域留给firefox'url bar,告诉我用于该响应的证书是由Thwate为google.com签署的。
或者登录Deutsche Bank。它使用extended validation certificate并完全受到firefox的信任,因此显示绿色区域告诉我该网站由“Deutsche Bank AG”运营。这使得在我身上设置欺诈登录页面变得更加困难
使用https来发送登录表单真的那么慢吗?