例如,假设我有 login.html,它将用户名和密码发布到 verify.html。我需要在 SSL 下拥有 login.html 还是只是 verify.html 就足够了?
问问题
111 次
2 回答
5
这是一个摘要:
- login.html 必须受到保护,否则其内容可能会被篡改,例如通过更改表单的操作位置。
- verify.html 必须受到保护,否则凭据不受保护并且可能被窃听。
- 验证成功后的所有其他内容都应该受到保护,否则会话 ID 等验证信息可能会被窃听。
于 2012-07-16T07:13:51.240 回答
1
从技术角度来看,安全是最低限度的。保护 login.html 也将带来 3 个优势:
- 浏览器会知道它正在处理敏感信息,从而执行安全策略
- 最重要的是,用户将知道他正在处理一个安全的应用程序,因为导航栏将显示一个锁。
- 试图更改登录目标(窃取凭据)的中间人攻击将不再可能。
无论如何,为处理个人数据的网站的每个部分提供 SSL 是一种很好的做法,因为越来越多的用户希望他们的个人信息得到保密。
于 2012-07-16T06:18:11.717 回答