如果我想保护我的登录方法。用户从不安全的服务器将他们的登录凭据输入标准 HTML 表单,该表单正在发布到安全服务器上的脚本。该脚本执行所有必要的登录功能,并将用户发送回不安全的服务器。
我的问题归结为:登录信息在发布到安全服务器之前是否通过 SSL 加密,从而防止任何中间人数据包嗅探。还是所有内容仍以明文形式发送,并且进行 POST 的表单也必须托管在安全服务器上?
谢谢
1 回答
1
如果您通过 SSL 发布,则信息将通过加密的线路传输,并防止数据包嗅探。
是否也可以在安全服务器上托管实际的登录表单页面?这样,当用户登录您的站点时,他们可以看到登录页面是安全的,并且他们可以确信他们的登录信息将使用 SSL 发布。否则,用户会看到一个未加密的页面,要求他们输入他们的凭据,并且他们无法(除了查看 HTML 源)知道他们的信息是否将使用 SSL 提交。
我的另一个问题是,不安全的服务器如何“知道”用户实际上已经通过安全服务器的身份验证?如果它是使用 cookie 或浏览器重定向完成的(由于用户被发送回不安全的服务器,这两者都将是未加密的)那么该信息将很容易被网络上的任何人读取。这可能是一个安全漏洞,用户的凭据实际上是安全的,但您的应用程序/网站没有受到保护,不会被实际上没有进行身份验证的个人访问。
于 2009-06-07T03:25:50.223 回答