Questo sarà un po 'difficile da spiegare ma farò del mio meglio.
C'è un sito web che ha il modulo di accesso su ogni pagina con campi username/password. Queste pagine non stanno usando SSL. Dopo che l'utente compila il nome utente/password e invia il modulo, il modulo viene inviato a una pagina di autenticazione che è https.Dopo l'accesso, tutte le pagine dovrebbero essere https?
Ho alcune domande su questa situazione.
- Quando si invia un modulo a una pagina https, i dati sono crittografati? O solo dopo essere passato da una pagina https (presumo solo di andare da)?
- Se la risposta al numero uno è la ladder, significa che dovrei usare https per tutte le pagine perché il modulo di login viene reindirizzato da lì?
- Dopo che un utente è stato autenticato tramite https, l'utente può essere reindirizzato a http e continuare a utilizzare i dati di sessione? O l'utente dovrebbe rimanere in https?
- È meglio/peggio lasciare l'utente in https?
Grazie mille per qualsiasi aiuto!
Metropolis
CONCLUSIONE
Ok, quindi dopo pensare a questo per un po 'ho deciso di fare solo il tutto https. @ Mathew + @Rook, le tue risposte sono state entrambe fantastiche e penso che entrambi punti importanti. Se fossi in una situazione diversa potrei averlo fatto in modo diverso, ma qui ci sono le mie ragioni per fare l'intera cosa a https.
- Sarà più facile controllare le richieste di pagina, poiché devo solo rimanere in https.
- Im non eccessivamente preoccupati con la performace (in un'altra situazione io sia stato)
- Non avrò bisogno di chiedersi se i dati degli utenti è in corso garantiti in tutti i luoghi
- sarò seguendo la linea guida OWASP come Rook ha dichiarato
Perché questo sito utilizzando HTTP per tutto il tempo, allora, tranne durante l'accesso a? Dovrei supporre che stiano usando le sessioni? – Metropolis
Sì, come ho detto è un trade-off. È possibile intercettare e rubare un cookie di sessione StackOverflow. Decisero che erano disposti a rischiare quella possibilità. –
@Metropolis perché si tratta di una violazione molto comune di owasp. Inoltre SO non è sicura al 100% (http://meta.stackexchange.com/questions/46671/captcha-bypass) – rook