Điều này sẽ hơi khó giải thích nhưng tôi sẽ cố hết sức.
Có một trang web có biểu mẫu đăng nhập trên mọi trang có trường tên người dùng/mật khẩu. Các trang này không sử dụng SSL. Sau khi người dùng điền vào tên người dùng/mật khẩu và gửi biểu mẫu, biểu mẫu được gửi đến trang xác thực là https.Sau khi đăng nhập, tất cả các trang có phải là https không?
Tôi có một vài câu hỏi về tình huống này.
- Khi gửi biểu mẫu đến trang https, dữ liệu có được mã hóa không? Hoặc chỉ sau khi đi từ một trang https (tôi giả định chỉ đi từ)?
- Nếu câu trả lời cho số một là bậc thang, điều này có nghĩa là tôi sẽ cần sử dụng https cho tất cả các trang vì biểu mẫu đăng nhập đang được chuyển hướng từ đó?
- Sau khi người dùng được xác thực bằng https, người dùng có thể được chuyển hướng trở lại http và tiếp tục sử dụng dữ liệu phiên không? Hoặc người dùng có nên ở dạng https không?
- Tốt hơn/tệ hơn là để người dùng ở dạng https?
Cảm ơn bạn rất nhiều vì đã trợ giúp!
Metropolis
KẾT LUẬN
Ok, vì vậy sau khi suy nghĩ về vấn đề này cho một lúc tôi đã quyết định chỉ làm cho toàn bộ điều https. @Mathew + @Rook, câu trả lời của bạn đều tuyệt vời và tôi nghĩ cả hai bạn đều có những điểm tuyệt vời. Nếu tôi ở trong một tình huống khác, tôi có thể đã làm điều này một cách khác nhau, nhưng đây là lý do của tôi để làm cho toàn bộ điều https.
- Sẽ dễ dàng hơn để kiểm soát các yêu cầu trang vì tôi chỉ phải ở lại https.
- Im không quá quan tâm với performace (trong một tình huống tôi có thể có được)
- tôi sẽ không cần phải tự hỏi, nếu các dữ liệu người dùng được bảo đảm ở mọi nơi
- tôi sẽ được sau phương châm OWASP như Rook nói
Tại sao trang web này sử dụng http mọi lúc, ngoại trừ khi đăng nhập? Tôi sẽ phải giả định họ đang sử dụng phiên? – Metropolis
Vâng, như tôi đã nói đó là một sự đánh đổi. Có thể chặn và ăn cắp cookie phiên StackOverflow. Họ quyết định họ sẵn lòng mạo hiểm khả năng đó. –
@ Thủ đô vì đây là một vi phạm owasp rất phổ biến. SO cũng không an toàn 100% (http://meta.stackexchange.com/questions/46671/captcha-bypass) – rook