0

在符合 PCI 标准的同时,是否有可能在非安全页面 (http) 上拥有安全 (https) 的灯箱弹出式登录?如果是这样,它会在页面上显示正确的安全图标/锁吗?

4

1 回答 1

0

由于多种原因,这很容易受到攻击。攻击者可以只使用SSLStrip删除 https 登录和 MITM 密码。

另外,为什么您只使用 HTTPS 登录?它应该在会话的整个生命周期中使用,或者完全和完全无用。您违反了 OWASP A9,这可以通过Firesheep加以利用。

于 2011-03-02T05:44:19.070 回答