那些遇到过的问题

从HTTP到HTTPS,越快越好?

vto*_*ola 2 security https

如果我在"http://example.com/login"中使用GET动词有此页面:

<form action="https://example.com/login" method="post">
   <input type="text" name="login"/>
   <input type="password" name="pass"/>
   <input type="submit" value="Login"/>
</form>
Run Code Online (Sandbox Code Playgroud)

这是一个安全漏洞吗?我的意思是,页面是HTTP,但在发送数据时,它使用HTTPS.我已多次阅读过登录页面中我应该要求HTTPS的内容,但我不明白为什么.

Ric*_*dle 7

是的,它有缺陷.只要是用户看到的登录表单,您所拥有的就是安全.

由于您的登录表单不安全,我可以来代替我自己的恶搞登录表单并收集用户的登录详细信息,例如.通过中间人攻击.只有登录表单和目标页面都使用SSL时,登录系统才是安全的.

此外,它对用户来说看起来并不安全.用户在登录表单上查找挂锁符号,而您的用户没有.

Que*_*tin 5

是的,这是一个安全漏洞.

由于表单是通过HTTP提供的,因此需要在整个过程中进行编辑.例如,此编辑可以是附加的JavaScript,它将凭据发送到攻击者控制的服务器以及让浏览器正常登录.

  • 是的,虽然他们也提供了https以上的表格,但是如果你小心的话,可以避免这个问题. (2认同)
  • 如果您访问`http:// twitter.com /`,您将获得没有SSL的表单,并且它会遇到上述问题.如果您访问`https:// twitter.com /`,那么您将获得带有SSL的表单,而不是. (2认同)
  • @Quentin,经过深思熟虑并仔细阅读你的答案和评论后,这是有道理的.由于登录表单是通过未加密的通道提供的,因此用户无法确保其内容未被篡改.确保这一点的唯一方法是使用SSL.+1为你的答案. (2认同)

归档时间:

查看次数:

131 次

最近记录:

14 年,6 月 前
相关归档
调用InitializeSecurityContext(Negotiate)时要使用的TargetName是什么? 18
使用MAMP测试HTTPS文件 16
使用带有HTTPS的javax.xml.ws.Endpoint 10
php mysql_connect安全性 4
配置mod_proxy让Apache拒绝错误的域请求 4
在iOS中保存访问令牌的最佳实践 3
受保护的URL将未受保护的webapge组件泄露给未经身份验证的用户 2
如何使用Python访问Ring 0? 1
PHP 中加密安全的随机 ASCII 字符串 1
无法验证nodejs中的第一个证书 0
难疑归档
如何在JavaScript中替换所有出现的字符串 4081
使用pip升级所有包 1859
如何生成随机字母数字字符串? 1679
什么是非捕获组?(?:)做什么? 1653
如何使用自定义对象对NSMutableArray进行排序? 1253
感叹号在功能之前做了什么? 1190
URL.Combine的URL? 1186
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
退出申请不赞成? 1131
按ID删除元素 1085