Chỉ là một câu hỏi nhanh cho bất kỳ chuyên gia nào. Tôi có một trang web cho phép người dùng tương tác thông qua tin nhắn và đăng ký bạn chỉ cần tạo tên người dùng và mật khẩu, xác minh tuổi của bạn và tùy chọn thêm email. Không có bất kỳ thông tin nhạy cảm nào mà tôi cho là. Có đáng sử dụng https không. Nó sẽ ngăn chặn phiên hi jacking và nó sẽ cản trở hiệu suất?Có đáng sử dụng https nếu bạn không thực hiện các giao dịch tài chính không?
Trả lời
Bất cứ khi nào bạn sử dụng tên người dùng/mật khẩu, bạn hoàn toàn nên bảo toàn toàn bộ phiên bằng HTTPS. Chi phí cho bạn là khá nhỏ so với chi phí tiềm năng cho người dùng của bạn nếu mật khẩu của họ được tiếp xúc. Nghiên cứu consistently shows mà mọi người sử dụng cùng một mật khẩu cho hầu hết mọi hệ thống họ truy cập.
Ngoài ra, ngoài nguy cơ tiếp xúc mật khẩu, hãy xem xét trang web của bạn là công cụ liên lạc. Nguy cơ hoặc nguy cơ tiềm ẩn cho người dùng của bạn bị mạo danh là gì? Có tin nhắn độc hại được gửi dưới danh tính của họ?
Nó không đáng để mạo hiểm. Đảm bảo vận chuyển ít nhất.
câu trả lời tuyệt vời, cảm ơn người đàn ông – Scarface
-1 Sau khi người dùng đăng nhập vào kẻ tấn công sẽ chỉ chiếm đoạt ID phiên. Toàn bộ phiên phải được bảo vệ bằng https, đây là trong đầu OWASP 10. – rook
rook bạn đang nói về cái gì, bạn có thể cụ thể hơn lol không. Làm thế nào bạn có thể sử dụng https thông qua một cổng cụ thể, và chỉ bảo vệ một phần của một phiên. Làm thế nào là câu trả lời sai, ông chỉ đề xuất bảo vệ tương tác máy chủ thông qua một giao thức được mã hóa. Không phải phiên được tự động bảo vệ bằng https nếu đó là những gì máy chủ của bạn đang sử dụng để giao tiếp? – Scarface
Nó rất đáng giá ít nhất nếu bạn truyền mật khẩu và địa chỉ email hoặc bất kỳ thông tin nhận dạng cá nhân hoặc cá nhân nào khác. Có thể cướp quyền truy cập phiên nếu có bất kỳ giao tiếp không phải HTTPS nào là nhưng đó là rủi ro mà nhiều trang web sẵn sàng chấp nhận và tùy thuộc vào tình huống của bạn.
Sự cố về hiệu suất phụ thuộc vào phần cứng và ngăn xếp của bạn, nhưng sẽ có một số "hiệu suất" được truy cập từ HTTPS và HTTP. Nó không đủ để ngăn bạn bảo vệ mật khẩu và thông tin người dùng nhạy cảm.
cảm ơn lời khuyên. – Scarface
Tôi cũng đã nghĩ về điều này trước đây. Tôi nghĩ bạn sẽ muốn có kết nối an toàn khi người dùng đăng nhập hoặc thay đổi thông tin.
Tôi nghĩ rằng ngay sau khi bạn có một số loại xử lý đăng nhập, bạn nên bảo vệ mật khẩu của người dùng. Bạn có thể thực hiện điều đó thông qua https hoặc bằng cách sử dụng xác thực thông báo http.
Điểm chính của tôi để mã hóa là khá nhiều người dùng của bạn sẽ có cùng một mật khẩu cho trang web của bạn khi họ có vào tài khoản ngân hàng hoặc tài khoản tương tự. Mặc dù thông tin tại trang web của bạn không nhạy cảm, nhưng mật khẩu thực sự có thể bảo vệ điều gì đó quan trọng.
đánh giá cao chuyên môn, tôi nghĩ cả câu trả lời của bạn và câu chuyện của dan đều tuyệt vời, tôi đã bình chọn cho các bạn. – Scarface
-1 Sau khi người dùng đăng nhập vào kẻ tấn công sẽ chỉ chiếm đoạt ID phiên. Toàn bộ phiên phải được bảo vệ bằng https, đây là trong đầu OWASP 10. Tôi ước tôi có thể cung cấp cho -1 khác cho auth tiêu hóa, bởi vì nó thậm chí còn kém an toàn hơn. – rook
xem nhận xét của tôi về câu trả lời. – Scarface
Tuy nhiên, đối với một số người, mật khẩu và tuổi sẽ được coi là thông tin nhạy cảm. Bạn đã chuẩn bị để đối phó với một số người có thể có một quan điểm khác với bạn?
Có, SSL/TLS là bắt buộc để duy trì phiên được xác thực an toàn. Nếu bạn có thông tin đăng nhập, thì bài đăng của người đăng nhập và PHIÊN BẢN TOÀN BỘ phải được bảo vệ bằng https. Nó dễ dàng hơn và an toàn hơn để chuyển tiếp tất cả lưu lượng truy cập đến https, ngay cả khi bạn có một ứng dụng web đơn giản.
Vấn đề là một id phiên (cookie) có thể bị rò rỉ nếu bạn sử dụng http. Nếu phiên đó được xác thực thì hacker có thể sử dụng id phiên đó để xác thực với máy chủ mà không có tên người dùng và mật khẩu.
Đây là yêu cầu rõ ràng của The OWASP top 10 A3: "Broken Authentication và Quản lý Session" http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf
Gửi một cookie trên http cũng là một vi phạm CWE-614 và CWE-311.
- 1. Có lý do chính đáng để sử dụng tài sản/lĩnh vực công cộng không?
- 2. Ứng dụng Giao dịch Tài chính Mẫu Miền
- 3. jQuery ajax sẽ không thực hiện các yêu cầu HTTPS
- 4. Khung thực thể không có Giao dịch?
- 5. .net, bạn có nhận được đối tượng giao dịch không?
- 6. Các hàm PostgreSQL có giao dịch không?
- 7. Giao dịch Apache: ghi tệp giao dịch - cách sử dụng tài nguyênId
- 8. Có bao giờ có lý do chính đáng để sử dụng Sắp xếp Chèn không?
- 9. Tôi có thể thực hiện các giao dịch và khóa trong CouchDB không?
- 10. Chúng ta có thể thực hiện Giao dịch trên các đối tượng C# không?
- 11. Có sự khác biệt đáng kể nào trong cách các trình duyệt thực hiện chính sách cùng nguồn gốc không?
- 12. Có đáng sử dụng PLINQ với ASP.NET không?
- 13. Có đáng để xóa tìm kiếm .aspx/.ascx nếu tôi không định sử dụng chúng không?
- 14. Nếu bạn sử dụng HTTPS, thông số URL của bạn sẽ an toàn khi đánh hơi?
- 15. HMAC có cần thiết không nếu tất cả các cuộc gọi API được thực hiện thông qua https?
- 16. Bạn có sử dụng tiền tố ký hiệu Hungary trong các ngôn ngữ thông dịch không?
- 17. nếu sử dụng giao diện nên một lớp luôn thực hiện đúng giao diện
- 18. Tôi có thể sử dụng lớp scala thực hiện giao diện java từ Java không?
- 19. Tại sao không thể thực hiện các nhiệm vụ trong quá trình giao dịch có tên?
- 20. Cho phép Java sử dụng chứng chỉ không đáng tin cậy cho kết nối SSL/HTTPS
- 21. Có đáng sử dụng std :: tr1 trong sản xuất không?
- 22. Có đáng sử dụng Debug.Assert trong ASP.NET không?
- 23. Có ai biết điều gì sẽ xảy ra nếu bạn không thực hiện iequtalable khi sử dụng các bộ sưu tập chung?
- 24. Mục tiêu-C. Bạn có thể sử dụng giao thức như giao diện Java không?
- 25. Đường ray có thực hiện khôi phục nếu tôi sử dụng bắt đầu ... cứu hộ không?
- 26. Sử dụng các giao dịch với subsonic
- 27. C# Giao diện: Có thể tham khảo loại thực hiện giao diện trong chính giao diện không?
- 28. Không thể thực hiện thao tác vì không có giao dịch hiện tại khi chèn vào cơ sở dữ liệu
- 29. Các khung CSS có thực sự đáng được sử dụng không?
- 30. Có lý do chính đáng nào để sử dụng các tham số cho các trường bóng không?
BTW, Bạn nhận được câu trả lời sai. Nó đi ngược lại top 10 của OWASP để bảo mật phiên.Toàn bộ phiên phải được bảo vệ bằng https hoặc không có điểm. – rook
@ The Rook: Bởi lý do đó, khóa cửa trước của tôi hoàn toàn vô dụng, vì có nhiều cách để vượt qua nó. Nó sẽ ngăn chặn tên trộm thường không muốn làm hại có thể nhìn thấy, và đó là một lợi thế. Sẽ tốt hơn nếu toàn bộ phiên là https (mặc dù đó là điều dễ bị tổn thương đối với man-in-the-middle với hầu hết các chứng chỉ), nhưng thực hiện nó chỉ để đăng nhập và như vậy sẽ ngăn chặn một số cuộc tấn công. –
@david, Trên thực tế có cửa trước của bạn là vô dụng nó có thể được chọn khá dễ dàng, pin tumblers là một công nghệ khủng khiếp. Ngoài ra, tôi đồng ý với owasp, nếu bạn bị rò rỉ id phiên của bạn thì kẻ tấn công có thể sử dụng nó như thể họ đã có mật khẩu. Ngoài ra SSL/TLS dừng MITM, đó là những gì nó được xây dựng cho. (Bỏ qua SSLStrip vì lợi ích của đối số;) – rook