Pertanyaan Harus login menjadi halaman https


Beberapa ahli keamanan mengatakan di masa lalu bahwa halaman login harus di https ssl. Jadi bagaimana jika login saya adalah blok yang ditampilkan di semua halaman. Apakah itu berarti seluruh situs web saya harus https?

Saya membaca itu mungkin untuk meletakkan formulir di http tetapi posting ke https, tapi saya membaca seseorang yang mengatakan bahwa itu dapat dimanfaatkan dengan seorang pria di serangan tengah. Bisakah seseorang mengkonfirmasi ini? Saya memiliki 100 poin karunia untuk seseorang yang dapat mengonfirmasi hal ini (dan membantu saya dengan jawaban praktis bagaimana menyelesaikannya dengan aman). Formulir login saya ada di setiap halaman, apakah saya perlu membuat seluruh situs web di https? Jangan ragu untuk mempertanyakan apa pun yang saya katakan di sini. Mereka hanya hal yang saya baca tetapi tidak memiliki pengalaman dengan dan tidak mencobanya sendiri.

Edit: kepada mereka yang bertanya, ketika saya memposting pertanyaan, saya mencoba mengatur karunia tetapi sistem tidak mengizinkan saya. Saya memeriksa FAQ dan melihat bahwa hadiah dapat diposkan setelah 2 hari sejak memposting pertanyaan. Itu sebabnya Anda tidak melihat karunia apa pun. Tapi saya tidak akan memilih jawaban sampai saya menetapkan hadiah dalam 2 hari. Maaf atas kebingungan apa pun.


32
2017-11-29 23:37


asal


Jawaban:


Saya membaca itu mungkin untuk meletakkan formulir di http tetapi posting ke https, tapi saya membaca seseorang yang mengatakan bahwa itu dapat dimanfaatkan dengan seorang pria di serangan tengah. Bisakah seseorang mengkonfirmasi ini?

Iya nih. Formulir disajikan melalui HTTP, sehingga seorang pria di bagian tengah dapat menyuntikkan perubahan ke dalamnya (misalnya, sehingga mengirim kredensial ke servernya sendiri sebelum formulir dikirimkan).

jawaban praktis bagaimana memecahkan ini dengan aman

Jika keamanan benar-benar penting - gunakan HTTPS untuk seluruh situs. Bahkan setelah kata sandi dikirim, jika Anda kembali ke HTTP maka cookie dapat dicuri (lihat Firesheep)

Jika keamanan tidak begitu penting, maka jangan masukkan formulir login di setiap halaman. Hanya memiliki tautan ke halaman login saja.


30
2017-11-29 23:44



Jawaban sederhana "Ya" halaman login Anda dan sisanya dari situs web harus dilayani melalui SSL

Dan inilah mengapa dari FAQ Implementasi SSL:


7
2017-11-30 10:39



Nah, jika Anda tidak menggunakan SSL untuk login, kata sandi pengguna dapat diungkapkan kepada siapa saja yang memiliki sarana untuk mendengarkan komunikasi client-server (pada dasarnya membaca aliran data). (Yang tidak baik ^^)

Seperti yang dikatakan oleh goreSplatter di atas, Anda dapat dengan mudah mengatur target formulir ke titik akhir aman (mis. https://site.com/login) dan koneksi yang aman akan digunakan untuk mengirim kredensial pengguna dan menerima respons.

Sebagian besar situs web kemudian terus berkomunikasi melalui HTTP dasar, yang "hanya" mengekspos pengguna mereka ke risiko pembajakan sesi (man-in-the-middle membaca pengenal sesi / tanda tangan / non-mereka / apa pun dan kemudian berpura-pura menjadi klien yang diautentikasi, Oleh karena itu jika ia berhasil, ia dapat memanipulasi sumber daya yang dilindungi klien, tetapi metode ini tidak memungkinkan "mencuri seluruh akun"). Ini biasanya dianggap sebagai ancaman kecil dan karena overhead yang terkait dengan komunikasi SSL, koneksi aman untuk semua permintaan hanya digunakan dalam aplikasi penting (perbankan online, misalnya).

Akhirnya, untuk menjawab pertanyaan Anda: Tidak, hanya transfer di mana data sensitif sedang dikirim harus selalu diamankan.


4
2017-12-07 21:15



Jika Anda ingin data Anda aman Anda harus menggunakan SSL (bersertifikat) di seluruh situs Anda. Tetapi Anda tidak perlu memiliki SSL untuk menjaga kata sandi Anda tetap aman. Anda bisa misalnya menggunakan openID, facebook connect, twitter sign-in untuk menangani bagian ini untuk Anda. Dengan cara ini tidak pernah password dikirim melalui kawat dalam teks biasa.


3
2017-11-30 02:38



Apakah Anda memiliki pilihan untuk mendesain ulang konsep UI? Idenya: Memiliki UI info masuk informatif di setiap halaman tetapi bukan kontrol login yang sebenarnya. Milikmu yang baru info kontrol akan mencantumkan:

  1. Logged In As <user_name> atau Not Logged In
  2. Login atau Logout tautan tergantung pada negara

Tautan tersebut kemudian akan menampilkan halaman munculan login yang isinya sepenuhnya aman.

Pendekatan ini akan membuat Anda dekat dengan apa yang sudah Anda miliki (beberapa fungsi login di setiap halaman) tetapi diarahkan / berlapis dengan cara otentikasi Anda sepenuhnya dijamin melalui SSL.


1
2017-12-09 17:34



Misalnya GMAIL memiliki opsi di konfigurasi tempat Anda dapat mengaktifkan SSL. Facebook, Twitter, dan semua Media Sosial tidak memiliki SSL atau tidak diaktifkan.

Saya pikir jika Anda benar-benar ingin keamanan situs web Anda dari semua berbahaya (bot atau tidak) lebih baik Anda menggunakan SSL. (namun jika SSL diaktifkan Anda memiliki risiko pembajakan) Jika tidak, Anda dapat mencoba js hardcode untuk mengaburkan data formulir.

Jawaban yang bagus di atas, ditambah semuanya dan dapatkan ideia Anda sendiri tentang masalah ini!

Semoga berhasil.


1
2017-12-10 17:17



Saya membaca itu mungkin untuk meletakkan formulir di http tetapi posting ke https, tapi saya membaca seseorang yang mengatakan bahwa itu dapat dimanfaatkan dengan seorang pria di serangan tengah.

Tidak. Target dari <form> adalah panggilan baru yang dilakukan oleh browser yang digunakan.

Jika URL http://example.com/ telah dikunjungi dan konten halaman telah dirender oleh browser, koneksi tidak aman ditutup (ya. Ini mungkin tetap terbuka [Keep-Alive]. Tetapi permintaan untuk URL itu selesai).

Untuk target masuk situs https://example.com/ sesi SSL akan dinegosiasikan antara server dan klien menggunakan port server yang berbeda (biasanya 443) dan tidak ada data dari halaman sebelumnya (kecuali mungkin "Referer") digunakan / dikirim setelah koneksi aman telah ditetapkan.

Saya membaca itu mungkin untuk meletakkan formulir di http tetapi posting ke https, tapi saya membaca seseorang yang mengatakan bahwa itu dapat dimanfaatkan dengan seorang pria di serangan tengah. Bisakah seseorang mengkonfirmasi ini?

Iya nih. Formulir disajikan melalui HTTP, sehingga seorang pria di bagian tengah dapat menyuntikkan perubahan ke dalamnya (misalnya, sehingga mengirim kredensial ke servernya sendiri sebelum formulir dikirimkan).

Di situs yang disusupi, tidak masalah, apakah konten itu aman atau tidak. Konten situs dapat dikirimkan melalui SSL tetapi kode tersebut masih dapat dikompromikan.

Juga, cookies bisa dicuri. Tapi itu hanya teks. Itulah yang dilakukan situs Anda dengan "teks" itu yang penting. Jika Anda mengandalkan apa yang "browser" beri tahu skrip Anda, aplikasi Anda tidak aman. Gunakan validasi cookie (berbasis IP, berbasis browser, apa pun yang berdasarkan) sehingga cookie tidak dapat "dicuri".

Gunakan situs SSL aman setiap kali pengguna Anda mengirim data, itu layak dilindungi. Mengomentari posting blog bukanlah hal yang saya akan tekankan server saya dengan membuat koneksi SSL untuk ...


0
2017-11-30 20:55



Bahkan jika Anda mencoba memasukkan blok login dalam iframe yang menggunakan https, serangan man-in-the-middle mungkin mengubah src dari iframe itu dengan mudah, sehingga Anda membuat login login login (dengan halaman https) atau Anda akan membutuhkan lebih banyak sumber daya untuk menjalankan situs web Anda dengan ssl untuk semua halaman web yang memiliki kotak masuk ...


0
2017-12-07 19:38