Firefox最近添加了一个信息对话框,告诉我们,登录数据可能会被泄露(因为它是通过纯HTTP发送的)。为什么通过SSL保护这么多网站,但他们放弃了登录过程?这些东西有很大不同吗?如果SSL已经运行,为什么不将它用于登录过程?这怎么可能首先成为一个问题?我的意思是,为后端应用程序设置SSL需要一些工作,但它是否也可以自由地将其链接到登录?当你这样做时会有陷阱或什么吗?
答案 0 :(得分:1)
没有理由拒绝从https登录。恰恰相反。
如果登录页面使用https但表单有一个http目标,即使该目标重定向到https,它也是不安全的,浏览器可能会显示警告。没有理由不将目标更改为直接使用https。
而且,唯一安全的配置是在所有网页上使用https,使用HSTS。任何其他配置都会使https网页容易受到MitM / SSLStrip攻击。