我们正在推出一个新网站(比如A),它有用户名/密码,我们的网站是HTTP网站。我们将用户名/密码信息发布到另一个网站,这是我们的另一个内部网站(Say B),但该网站是HTTPS网站。我们的“A”网站不处理授权和身份验证,我们也没有数据库,也没有任何后向通信(对于错误处理的东西)到'B'来自'A'。我们将它们全部转移到B网站,不再回来。
我的问题是
我从HTTP到HTTPS网站发布的信息是否安全?如果是,它的安全性如何。如果没有原因。
答案 0 :(得分:3)
数据将从浏览器加密到网站B,但最终用户无法保证网站B是其声称的人。可以使用“中间人”攻击,将安全信息传递给假冒网站。
因此,您的登录页面应托管在网站B上,并使用SSL(https)传送。
答案 1 :(得分:0)
如果用户可以验证站点A上没有运行脚本,则可以确保它是安全的。通常不好的做法是,它容易受到中间活跃人员的影响,他们更改表单目标或在站点A的上下文中插入恶意脚本以窃取密码并在提交密码之前将其发送出去(安全)B站点。