我有一个旧网站,另一个是新网站。
新网站将作为iframe嵌入旧网站。
在新网站中,我知道在旧网站中注册的用户列表。
我想知道哪个用户正在打开我的页面,注册并登录到旧网站。
知道它是安全的,在HTTP URL中从旧站点将用户名传递到新站点的最佳方法是什么?
我正在考虑传递GET参数加密数据,这些数据将在新网站中解密。 此数据将包含用户名和时间戳以及salt。在新网站中,我将检查用户名是否在我的注册用户列表中,并且我将在特定时间内授予访问权限。这是一种安全的方式吗?
只有没有SSL的HTTP。
答案 0 :(得分:1)
每当通过HTTP传输安全数据时,都应该使用POST,这不是因为它提供了超过GET的任何额外安全性,而是避免在浏览器历史记录和服务器日志中记录敏感信息。
此外,您可以通过HTTP发送加密的凭据,而不是通过HTTP发送加密的凭据,并将其传递到接收端,以便在接收端验证。
答案 1 :(得分:0)
对我来说看起来很安全。您将身份验证委派给您的新站点,并发出旧站点的信号。如果您的加密方法是,那应该是安全的。
使用salt和timestamp会处理重播攻击,因此如果您选择安全的加密方法,我就不会在您建议的方法中看到任何漏洞。
答案 2 :(得分:0)
如果加密,在GET请求的URL中粘贴用户信息可能是安全的,它会破坏您的缓存,因为现在同一页面为不同的用户提供了不同的URL。
对我来说听起来不安全的是,如果两个站点都是通过HTTP提供的,那么用户就无法安全地登录到旧站点。所有流量都很明显,容易被窃听。
我建议您将这些网站的网站迁移到HTTPS。如果站点托管在同一个域中,您可以设置一个cookie,用于标识将适用于这两个站点的用户。
更好的方法是转移到Facebook或Microsoft Live Id等社交身份验证提供商,并避免将用户密码全部存储在一起。