我們正在推出一個新的網站(比如A),它具有用戶名/密碼它和我們是一個HTTP站點。我們將用戶名/密碼信息發送到另一個網站,這是另一個內部網站(說B),但該網站是HTTPS網站。我們的'A'網站沒有處理授權和認證,我們也沒有數據庫,也沒有他們將'B'從'A'進行任何後向通信(用於錯誤處理等)。我們將它們全部轉移到B網站,不再回來。HTTP到HTTPS POST
我的問題是
是我從HTTP發佈到HTTPS網站是安全的信息?如果是的話,它如何安全。如果沒有爲什麼。
數據將從瀏覽器加密到網站B,但是最終用戶不能保證網站B是它自稱的人。可以使用「中間人」攻擊,將安全信息傳遞給虛假網站。
因此,你的登錄頁面應該B網站託管和使用SSL傳輸(HTTPS)。
提供的用戶可以驗證沒有在現場A上運行腳本,它可以保證它的安全。是什麼讓一個一般不好的做法是,它容易受到活躍的人中間誰改變了形式,目標或插入一個惡意腳本的站點A的情況下竊取密碼和以前被提交給送走(安全)網站B.
不需要腳本來竊取數據。代理可以更改表單POST的目標。看到我的其他評論。 – 2011-04-27 14:00:17
@Ray Henry:代理可以通過兩種方式獲取數據:更改表單的動作URL(可通過查看源代碼輕鬆檢測到)或使用客戶端腳本。我的意思是沒有腳本,如果你知道那裏沒有任何腳本,那麼你可以檢查表單的動作來查看數據的去向 – Yuliy 2011-04-29 05:50:35
最終用戶不太可能看到查看頁面的來源是否有腳本或表單POST目的地不是假的。我支持我的回答:應該通過https傳遞登錄頁面(包含表單),這會向用戶顯示該頁面是安全的,並且該主機是已知和可信的。 – 2011-04-29 16:58:02
說假設一箇中間人進入圖片和重定向加密信息,假冒網站。解密他重定向的信息是否可行?另外他是如何重定向到一個虛假的網站? – pushya 2011-04-27 11:57:11
這個想法是,「中間人」(代理)可以攔截未加密的http頁面並將表單的POST目標更改爲虛假網站。因此,當敏感數據被髮送時,它被僞造的密鑰加密並被傳送到假冒的網站,在那裏被解密。這可能發生嗎?並非如此,但有可能,因此,除非您完全控制您正在使用的網絡(例如分離的內聯網),否則所描述的方案不能被視爲完全安全。 – 2011-04-27 13:58:51
我不確定這意味着什麼。您也可以從「安全」https網站發佈到任何「虛假網站」。 – 2014-04-15 13:49:00