对于用户名/密码验证 - 好的网站使用 https - 以避免通过网络发送明文密码。如果我有一个我想这样做的网站 - 即通过 https 登录。但是 - 登录后其余的东西应该是通过 http。这可能吗 - 如果是的话,为什么我们看不到太多的网站这样做。如果不是,为什么不呢?
问问题
177 次
2 回答
2
您可能想阅读Firesheep。简而言之,这种技术允许恶意人员劫持会话。
于 2012-09-21T10:42:37.107 回答
0
如果是,为什么我们看不到太多的网站这样做
不使用端到端 TLS/SSL 的常见借口是它会导致 Web 应用程序性能受到影响、响应时间变慢等。这是 https-sometimes 安全策略的一个非常有缺陷的论点。并非完全没有根据,但仍然没有道理。
如果不是,为什么不呢?
其想法是,用户访问控制的唯一固有易受攻击的方面是身份验证阶段,即您提供用户名和密码以证明您就是您所说的人。组织意识到以明文形式传输凭证的风险。但是,在此过程之后,将在服务器端执行授权,并且 Web 应用程序从那里开始信任您,并且不再有凭据可以保护。
或者有吗?正如 jszakmeister 非常简洁地指出的那样,会话 cookie 的安全性与用户名/密码对一样重要。如果有人掌握了它,他们可能已经在便利贴上看到了密码和用户名。
于 2012-09-22T04:37:52.627 回答