0

ユーザーがhttpsにリダイレクトせずにhttpページにログインできるようにしたい。これは、ユーザーが表示しているページの状態を失わないようにするためです。

ユーザーがログインが必要なものをクリックすると、モーダルログインフォームがページ上に表示され、詳細を尋ねられます。その後、ajaxを使用してログインでき、モーダルフォームは状態が失われることなく消えます。ただし、これは安全ではありません。パスワードはプレーンテキストで送信されています。

postMessageを使用して、httpsを使用してロードされた場所を持つ非表示のiframeにユーザー名/パスワードを送信できます。これにより、ログインリクエストが安全に送信され、成功/エラーがメインページに返されます。

このシナリオで私が見逃しているセキュリティ上の考慮事項はありますか?

特に、中間者。http javascriptは、中間者を使用して置き換えることができ、これを使用してパスワードをキャプチャし、https iframeに到達する前に他の場所に送信できると考えているのは正しいですか?

4

1 に答える 1

0

中間者攻撃を検討している場合は、httpsのみを使用する必要があります。攻撃者はhttpsリソースへのすべてのリンクを通常のhttpsに書き換えることができるため、他のすべては安全ではありません。

または、ページでその特定のリソースのhttpが許可されていない場合、攻撃者はクライアントからhttpを受け入れるプロキシを実行し、サーバーに送信するときにhttpsに変更することができます。

中間者攻撃がなくても、攻撃者はFireSheepDroidSheepと同じように、認証されたセッション(通常はCookie)を「盗む」可能性があります。この場合、パスワードは安全ですが、攻撃者は、攻撃された別のユーザーとして認証されたWebページ上のすべてのことを実行できます。

于 2012-06-25T14:34:44.693 に答える