ログイン処理をより安全にしたいと思います。そしてそれを達成するために、私はhttpsを使い始めることを考えています。今まで使ったことがありません。
これで、メインページのユーザーにログインリンクが表示divされ、ログインフォームがメインページと一緒にすでにロードされています。ユーザーがログインリンクをクリックすると、すぐにLoginFormが表示されます。フォームのアクション属性では、URLを。から始めhttsます。だから私の質問:これらのユーザー名とパスワードは保護されたプロトコルで送信されますか?
PS私は登録証明書を持っていないので、最近のほとんどのブラウザは実際にリスクに関するページを表示します...では、通常、誰もがそのような問題を解決するのでしょうか。
ユーザーのログイン詳細は暗号化されて送信されますが、メインページがHTTPSを使用していないため、ユーザーには予想される南京錠の記号が表示されず、フォームの使用に注意が必要な場合があります。
別View sourceの言い方をすれば、使用しないと、フォームが安全かどうかをユーザーが知る方法はありません。
あなたがしていることを行うための唯一の完全に安全で明白な方法は、HTTPS経由でログインフォームを提供するページを提供することです。にリダイレクトhttp://mysite.comしhttps://mysite.comます。Twitterはこれを行うサイトの例です。
ヘッダーとクエリパラメータを含むHTTPリクエスト全体が暗号化されます(詳細はこの回答を参照してください)。
ただし、ランディングページがHTTPSを使用していることも確認する必要があります。HTTPSによって提供されるセキュリティの重要なポイントは、クライアントだけが実際にそれをチェックできることです。ユーザーは、最初にユーザーインターフェイスを介して使用中のHTTPSを確認する必要があります。詳細については、このOWASPルール(および同様の質問に対するこの前の回答)を参照してください。
証明書に関するブラウザの警告については、ほとんどのブラウザで認識されているCAから証明書を取得する必要があります。
最善のアプローチは、ログインとその後だけでなく、常にHTTPSを強制することです。これは通常、Webサーバー構成を介して実行できます(使用しているWebサーバーについては言及していません)。
信頼できる認証局によって発行された証明書が必要になります。これには通常、費用がかかりますが、StartSSLなどによる無料の証明書もあります(私はそれらとは提携していません)。