1. 首页
  2. 问答
  3. SSL登录结构

SSL登录结构

2011-12-02 83 views
1

我只有会员名人照片和视频画廊,仅限媒体专业人士。它安装在专用服务器上,我最近安装了通配符SSL证书。SSL登录结构

我有一个主要的公共网站,广告我们的服务,托管注册表格,并有安全的登录表单。登录表单,提交的时候,去到相同的服务器,而是一个不同的帐户/目录下,就像这样:

From: https://www.mydomain.com/login 
To: https://subdomain.mydomain.com/login

...然后登录细节得到处理。

当我登录页面到达时,是否需要在https://上,或者我的登录表单是否需要action="https://..."才能使其安全?我不熟悉SSL的工作原理。

来源

2011-12-02 TheCarver

+0

熟悉安全性是什么重要... – rook

回答

2

如果登录页面的登录页面不是https,那么攻击者可以提供他们想要的wahtever,然后将页面重写为http。 SSLStrip是攻击者可以用来执行此攻击的工具。

但更重要的是,谁在乎登录页面?确保它应该受到保护,但用户名和密码不是浏览器认证的方式。浏览器使用cookie来验证您的网络应用程序,这是真正的身份验证令牌。如果您通过https登录,然后在几秒钟后泄露身份验证令牌,则这并不意味着什么。整个会话的必须超过https,否则您将违反owasp a9

来源

2011-12-02 01:59:02 rook

+0

因此https登录表单发送到https登录处理器,然后保持在整个成员区的https上? – TheCarver

+0

@Martin G如果你这样做,那么你也必须发送一个新的cookie到浏览器。因为如果在任何时候你通过http泄露了这个价值,那么你就会被绑架。这个新的cookie可以设置“安全”标记,以便它始终通过https传输。 – rook

相关问题

 相关问题