10
HTTPS è l'azione del modulo (HTML) sufficiente per crittografare i dati del modulo per l'invio?HTTPS è l'azione del modulo sufficiente?
Oppure la pagina che ospita il modulo deve essere anch'essa HTTPS?
A
risposta
11
Se la pagina in cui è ospitato il modulo non viene servita su HTTPS, può essere intercettata e modificata durante il percorso. Queste modifiche possono includere elementi quali la modifica dell'azione del modulo o l'aggiunta di JavaScript per inviare i dati a terzi prima di inviare il modulo normalmente.
L'invio del modulo tramite HTTPS è non sufficiente per proteggere i dati. Anche il modulo deve essere consegnato in questo modo.
4
HTTPS sull'azione del modulo è sufficiente per crittografare l'invio del modulo.
La pagina che ospita il modulo non ha a HTTPS, anche se aiuta a dare agli utenti la sicurezza che i loro dati siano sicuri.
L'altro vantaggio di proteggere la pagina di hosting è che il modulo non può essere alterato o alterato da un man-in-the-middle.
+0
Mentre funziona, ci sono un sacco di motivi per non farlo, la risposta giusta è mentre è possibile non farlo perché l'utente non è a conoscenza. – stephbu
+0
@stephbu: concordato - e ho elencato due di questi motivi nella mia risposta. –
+0
Hehe - il mio commento originale è stato troncato - Metterei che avrei votato per @stian, essendo più recente, ma le ragioni focalizzate sul cliente sono molto più accurate. – stephbu
2
E 'sufficiente se tutto ciò che si vuole fare è sventolare la polvere magica della crittografia. Non è abbastanza se vuoi essere effettivamente sicuro. Qualsiasi attacco man-in-the-middle potrebbe semplicemente riscrivere il modulo HTML per pubblicare su un server malevolo.
Problemi correlati
- 1. È un'operazione atomica sufficiente
- 2. mb_strlen() è sufficiente?
- 3. Decomposizione in java, quando è abbastanza sufficiente?
- 4. SSL reciproco: quanta autenticazione è sufficiente?
- 5. PHP htmlentities non è sufficiente per impedire agli hacker di iniettare codice HTML dal modulo
- 6. Il test end 2 end è sufficiente?
- 7. mysql_real_escape_string è sufficiente per l'Injection SQL?
- 8. Stored procedure e autorizzazioni: EXECUTE è sufficiente?
- 9. È sufficiente cancellare l'operatore = (Tipo tipo)?
- 10. Questa funzione è sufficiente per il rilevamento xss?
- 11. https sicurezza è compromessa
- 12. ASP.NET MVC: la convalida dell'annotazione dei dati è sufficiente?
- 13. Installa ogni versione o l'ultima versione è sufficiente?
- 14. Perché HTTP/2 è più lento del semplice HTTPS?
- 15. UTF-8 è sufficiente per tutte le lingue comuni?
- 16. Memorizzare le chiavi API in Android, è sufficiente l'ostruzione?
- 17. $ _POST è vuoto dopo l'invio del modulo
- 18. Mechanize invia il modulo di accesso da http a https
- 19. Request.UrlReferrer è NULL per HTTPS
- 20. "git push --mirror" è sufficiente per eseguire il backup del mio repository?
- 21. Windows 7 Home Premium è sufficiente per lo sviluppo del software?
- 22. $ this-> escape() nella vista Zend è sufficiente per xss
- 23. PHP è $ _SESSION sufficiente per proteggere la pagina Web?
- 24. PHP - È sufficiente htmlentities() per creare valori xml-safe?
- 25. Perché il threading di OCaml è considerato come `non sufficiente '?
- 26. LaTeX: mostra il blocco solo se è rimasto spazio sufficiente
- 27. Quando uso fabs e quando è sufficiente usare std :: abs?
- 28. PHP: istruzioni preparate (newbie), è sufficiente confermare l'iniezione SQL
- 29. LockModeType.PESSIMISTIC_WRITE è sufficiente per un UPSERT in JPA?
- 30. Quando utilizzare parser-generator, quando è sufficiente la regex?
Chiedo perché vedo che la finestra popup "Accedi" di Twitter viene avviata da una pagina HTTP ma le azioni in una pagina HTTPS. Mi chiedo LOL – Dougal