安全登錄
[英]Secure login
問題描述
如果我試圖保護我的登錄方法。 用戶從不安全的服務器將其登錄憑據輸入標准的HTML表單,該表單將POST到安全服務器上的腳本。 該腳本執行所有必要的登錄功能,並將用戶發送回不安全的服務器。
我的問題歸結為:登錄信息在通過POST發送到安全服務器之前是否已通過SSL加密,因此可以防止任何中間人數據包嗅探。 還是所有內容仍以明文形式發送,並且執行POST的表單也必須托管在安全服務器上?
謝謝
1 個解決方案
解決方案1
1 2009-06-07 03:25:50
如果通過SSL發布,則信息將通過加密的線路傳輸,並防止數據包嗅探。
是否可以在安全服務器上托管實際的登錄表單頁面? 這樣,當用戶登錄到您的站點時,他們可以看到登錄頁面是安全的,並且可以確信自己的登錄信息將使用SSL發布。 否則,將向用戶顯示一個未加密的頁面,要求他們輸入憑據,並且他們無法(除非查看HTML源代碼)知道是否將使用SSL提交信息。
我還有一個問題是,不安全服務器如何“知道”用戶實際上已通過安全服務器進行身份驗證? 如果使用Cookie或瀏覽器重定向(由於將用戶發送回不安全的服務器,兩者都將不加密)來完成,那么網絡上的任何人都可以輕松地讀取該信息。 這可能是一個安全漏洞,在該漏洞中,用戶的憑證實際上是安全的,但實際上未通過身份驗證的個人無法訪問您的應用程序/網站。
這個登錄會安全嗎?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.