只是想知道为HTTP站点创建HTTPS登录环境是否具有安全优势?
由于各种原因使得整个站点HTTP不是一个真正的选项,我只是想知道是否值得花费努力提供HTTPS登录,即使用户将在非常规时间内运行其余的登录时间HTTPS环境?
我做了一些谷歌搜索,发现将http记录到https中并不是很安全,但是却无法找到相反情况的可靠答案。
这种设置是否需要两种类型的会话数据,包含更多私人信息的安全数据和更简单地包含用户是谁以及他们已登录的基本会话,或者这可以安全地完成一段会话数据?
答案 0 :(得分:4)
我试图解释为什么整个网站上的HTTPS最好的原因如下:
假设您在自己的网站上设置了两个可通过HTTPS访问的页面:
/login.php
/loginhandler.php
login.php包含登录表单,用户输入其用户名/密码,此表单将提交至loginhandler.php。
这样,当用户请求login.php时,客户网络上的任何人都无法修改此表单,因为它是通过HTTPS提供的。
您的loginhandler.php也通过HTTPS提供,因此任何客户网络上的任何人都无法在登录时看到他们发送给服务器的用户名/密码。
但是:
如果网站的其他“登录”内容不是HTTPS,则攻击者将能够注入他想要的任何内容(并查看登录用户请求的所有内容)。
例如,他可以在任何页面上注入“您已经注销,请提供您的登录详细信息:(表单)”消息,表单将提交给他自己的服务器而不是您的服务器。然后用户的密码将被泄露。
攻击者还可以在用户获得/login.php之前将恶意注入网站索引,将其重定向到不同的网站,甚至更改您网站上的登录按钮的地址。
编辑/注释MitM attacks:
中间人攻击仅在攻击者控制网络时才有效。 这可能包括(但不限于):您的ISP,您的雇主在工作,您的邻居,如果您连接到他的网络,等等。
最后,如果攻击者想要在网站上注明(更改)内容,他将需要定位到特定网站(这当然可以自动化,通常用于更大容量的网站)。倾听数据比修改数据容易得多。
答案 1 :(得分:1)
网站的登录页面绝对是通过https发送的最重要页面之一,因为它有助于防止用户通过登录表单提交密码时被拦截。