Chi*_*lax 1 security authentication https http session-cookies
我有一个需要用户登录的网站。由于所有内容均无法通过 https 获取,因此我们决定仅在登录页面使用 https。
页面上提交的所有其他数据都不敏感,无需加密。
这种方法会损害用户的登录凭据吗?将所有其他页面放在 http 上 - 攻击者是否可以从用户会话 cookie 获取凭据?
我可以看到许多网站都采用这种方法,所以我认为它可能是安全的 - 但想了解其背后的技术细节。
仅在登录页面上使用 https是不安全的:
唯一安全的方法是在域的所有页面中使用 https,使用 HSTS 并将所有 http 请求重定向到 https。
这种方法会损害用户的登录凭据吗?将所有其他页面放在 http 上 - 攻击者是否可以从用户会话 cookie 获取凭据?
攻击者可以窃取会话 cookie,因此他可能会造成很多伤害(取决于您的安全措施,更改密码、电子邮件、提取个人数据...),并且他可以模拟断开连接并再次询问 http 上的密码网页。
我可以看到很多网站都有这种方法,所以我认为它可能是安全的
不,这不对。他们的网站可能太大,无法在所有地方都打开 https,因此他们竭尽全力限制损失。(或者他们只是懒)
| 归档时间: |
|
| 查看次数: |
1198 次 |
| 最近记录: |