1
Firefox最近添加了一個信息對話框,告訴我們,登錄數據可能會被泄露(因爲它是通過普通的HTTP發送的)。爲什麼這麼多網站是通過SSL進行安全保護的,但是他們放棄了登錄過程?那些東西有很大的不同嗎?如果SSL已經正常工作,爲什麼不將它用於登錄過程呢?這首先如何成爲問題?我的意思是,爲後端應用程序設置SSL需要一些工作,但是它是否可以自由鏈接到登錄?當你這樣做時有缺陷或什麼?爲什麼登錄不通過HTTPS安全?
A
回答
1
沒有理由忽略來自https的登錄。恰恰相反。
如果登錄頁面使用https,但表單具有http目標,即使該目標重定向到https,它也是不安全的,瀏覽器可能會顯示警告。沒有理由不改變目標直接使用https。
而且,唯一的安全配置是在所有網頁上使用https和HSTS。任何其他配置都會使https網頁易受MitM/SSLStrip攻擊。
+0
但是,如果沒有理由不包括登錄過程,爲什麼mozilla(以及AFAIK Google也很快)會感受到爲此創建警告的衝動?我注意到有很多網站的登錄過程是不安全的。我真的不明白。 – codepleb
+0
@TrudleR我說:「沒有理由**不**改變」,並有一個很好的理由來改變它:安全。沒有理由保持http。這就是Mozilla顯示警告的原因。 – Tom
+1
我不是母語的,這就是爲什麼你理解我錯了,對不起。我的觀點是:如果覆蓋登錄沒有問題,爲什麼有那麼多網站不包括他們的登錄信息,因此Mozilla覺得有必要警告用戶。如果網站使用HTTPS,並且實現它沒有問題,爲什麼開發人員不這樣做?必須有一個原因,爲什麼登錄通常不安全。如果使用HTTPS更容易地覆蓋所有內容,則此問題根本不存在,對嗎? – codepleb
相關問題
- 1. 爲什麼肥皂是安全的?爲什麼不使用HTTPS?
- 2. AMF通過Spring安全登錄
- 3. Javascript和jQuery不安全通過https
- 4. Https,Php安全登錄頁面?
- 5. 爲什麼https只用於登錄?
- 6. Javascript Facebook登錄 - 什麼是最安全的登錄方式?
- 7. Weblogic應用程序通過https安全登錄後切換回http http
- 8. ssl頁面不安全不確定爲什麼https://www.englishandproud.org/donate/
- 9. 什麼是通過彈簧安全(angularjs)登錄用戶的正確方法
- 10. 從HTTP通過AJAX調用HTTPS登錄
- 11. 通過htaccess強制https登錄用戶
- 12. IE9 HTTPS安全性受到... https!爲什麼?
- 13. __caller__爲什麼不安全?
- 14. 這爲什麼不安全?
- 15. 使用HTTP而不是HTTPS安全發送登錄憑證?
- 16. NSURLCredential是否通過https保護安全?
- 17. 通過HTTPS安全cookie的感覺
- 18. 安全 - 通過HTTP或HTTPS css文件
- 19. NSURLConnection通過https有多安全
- 20. 通過安全網關的HTTPS
- 21. 是什麼意思 - 通過SSL登錄
- 22. 安全登錄php
- 23. Wordpress登錄安全
- 24. 什麼更安全? VNC或Citrix或HTTPS
- 25. 2頁登錄過程更安全嗎?
- 26. 通過PHP保持登錄憑據服務器端(安全和安全)
- 27. 春季安全登錄/註銷登錄
- 28. Symfony2:安全/安全登錄和註銷
- 29. 爲什麼「strcat」被視爲「不安全」?
- 30. 春季消息+安全如何通過websockets登錄?
_「爲什麼通過SSL保護這麼多網站,但他們讓登錄過程?」 - 你能提供一些這樣的網站的例子嗎?我還沒有看到任何地方使用SSL,但在登錄時。 – 1615903