如果我使用在标准HTTP上运行的表单身份验证,则当用户输入其用户名&密码进入登录ASP.net表格,可以捕获此信息(不包括密钥记录软件),他们的数据安全吗?
答案 0 :(得分:0)
在用户输入标准HTTP时运行的身份验证 用户名和&密码进入登录ASP.net表单,这个信息可以 捕获
简答:绝对。每个人和任何人都可以在提交后获取这些信息。
长答案:任何人都可以使用HTTP(或HTTPS)协议查看所有流量。但是,通过HTTPS提供的安全性(加密),该数据对于无法解密的数据不具有任何价值。
因此,如果您的登录表单是通过HTTP提交用户凭据(以及加载登录表单,但我稍后会回过头来看),那么该用户的数据是不安全的,并且可以被捕获,因为它是发送纯文本。
但请注意,与通过HTTPS发送敏感数据(例如凭据)一样重要,同样重要的是通过HTTPS加载登录表单。
为什么?
因为,当表单通过HTTP加载时,它允许中间人(MiTM)攻击,并且说,注入一个键盘记录器)。因此,即使他们通过HTTPS提交凭据,当他们输入凭据时,损坏已经完成。