我的PCI合规性存在问题。基本上,他们希望我在https://字段所在的每个页面上添加password。这有点奇怪。
index.php中的表单如下:
<form method=post action="login.php" id="login">
<input type="text" size="16" maxlength="30" name="login" id="login_user" />
<input type="password" size=16 maxlength="20" name="pass" class="ifield" id="login_pass"/>
<input name="msubmit" type="submit" value="Login" />
</form>
我试图发布到https:<form method=post action="https://test.com/login.php" id="login">,但测试仍然失败。
我该如何解决这个问题?
答案 0 :(得分:4)
首先,您需要配置您的网络服务器以支持SSL。您需要购买SSL证书并配置您的网络服务器以应答端口80和端口443上的请求。
完成这些更改后,您可以通过上面发布的网址告知您的表单发布到您网站的SSL版本。
如果合规性规则要求,您可能还需要使表单本身加载到站点的SSL版本下。在这种情况下,您可以更新表单的所有链接以指向“https://”版本,或修改您的网络服务器规则以将表单的所有请求转发到“https://”版本。
答案 1 :(得分:-2)
从客观安全(非PCI)角度来看,填写表单并将其通过SSL发布到https地址没有任何问题。最初显示空白表单的页面是否是安全页面是无关紧要的,尽管许多人不这么认为(错误地)。在安全页面上展示您的表单就是营销 - 当您这样做时,人们会感觉更舒服。通过https提交是真正的安全部分。
许多PCI合规性要求是假设性的,或者是关于营销和安全性的看法,而不是实际的安全性。如果您的扫描仪仅仅因为表单在非SSL页面上呈现而标记您,那么您可以合理地对该发现提出异议,因为没有安全影响。如果相关表单即使在正确访问时也不允许访问服务器管理或私人信息,那么您也可以合理地对此发现提出异议。但是,如果登录过程允许访问个人信息或服务器管理,则有多种原因可以确保通过安全端口提交。