[英]User authentication in an SSL iframe
我的Web应用程序正受到越来越多的关注,我需要提供额外的安全性来保护我的客户。
我看到的最大问题是用户登录数据以纯文本形式发送。 我对这个问题的目标是辨别以下方法是否有所改进。
作为扩展,我将需要为服务提供专用的服务器。 在此之前,此提议的解决方案是暂时的。
我目前在共享托管Web服务器上运行Web应用程序,该服务器仅通过自己的域提供SSL。
http://mydomain.com
相当于
https://mydomain-com.secureserver.com
我的想法是:
http://mydomain.com/login.php
...其中iframe从安全服务器打开页面,如下所示:
<iframe src="http://mydomain-com.secureserver.com/ssllogin.php"></iframe>
这种方法是否有可能实现? 这是提高我的登录安全性还是只是将攻击者的“密码截取点”移动到另一个实例?
感谢所有反馈。
您不需要iframe。 只需执行登录表单的操作即可指向https://yourdomain.com/login.php 。 您可以在其中检查用户名和密码是否正确,然后再次重定向到纯http。
但是这不是100%安全的。 您通过https发送用户名和密码的事实可能会阻止攻击者或嗅探者获得该密码。 但是,如果您稍后恢复为纯http,则攻击者/嗅探者有可能劫持任何已登录用户的会话,从而嗅探该用户的会话cookie。
如果您需要更高的安全性(不是100%,但要比以前的选项更多),请对所有资源(css,js,图像,不仅是您的php / html文件)始终使用https,甚至通过以下方式提供登录页面: HTTPS。
对于这些问题的某些原因,请参阅firesheep (用于劫持会话问题)或最近对tunisian facebook / yahoo / gmail用户的tunisian gov't 攻击 (甚至通过https服务登录页面)。
编辑 :对不起,我读错了你的问题。 如果SSL域不同于not-ssl域,则您可能会遇到问题,因为会话cookie仅适用于相同的域或子域。 因此,如果您进行登录并从https://yourdomain.secure-server.com发送会话cookie,它将仅由浏览器发送回yourdomain.secure-server.com(或* .secure-server)。 com(如果可以的话),但不访问yourdomain.com。 我认为可以使通配符cookie对所有* .com子域均有效,但是最好不要这样做(您是否希望将用户的会话cookie发送到evil.com?)
HTTP基本认证结合SSL / TLS(HTTPS)将用于认证用户
[英]HTTP Basic Authentication combined with SSL/TLS (HTTPS) will be used to authenticate user
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.