0

我想让用户在不将他们重定向到 https 的情况下登录 http 页面。这样用户就不会在他们正在查看的页面上失去状态。

当用户单击需要登录的内容时,页面上会弹出一个模式登录表单,询问详细信息。然后,他们可以使用 ajax 登录,并且模态表单消失而不会丢失状态。但是,这并不安全,密码是通过纯文本发送的。

我可以使用 postMessage 将用户名/密码发送到隐藏的 iframe,并使用 https 加载位置。然后安全地发送登录请求并将成功/错误发布回主页。

在这种情况下,我是否缺少任何安全注意事项。

尤其是中间的人。我是否认为可以在中间使用 man 替换 http javascript,这可以用来捕获密码并在它到达 https iframe 之前发送到其他地方?

4

1 回答 1

0

如果您正在考虑中间人攻击者,您必须只使用 https。其他一切都是不安全的,因为攻击者有能力将所有指向 https 资源的链接重写为常规 https

或者,如果您的页面不允许该特定资源使用 http,攻击者可以简单地运行一个从客户端接受 http 的代理,并将其更改为 https,同时将其发送到服务器。

即使没有中间人攻击,攻击者也可以像FireSheepDroidSheep那样“窃取”经过身份验证的会话(通常是 cookie)。在这种情况下,密码是安全的,但攻击者仍然可以在您的网页上执行所有被验证为被攻击的不同用户的操作。

于 2012-06-25T14:34:44.693 回答