たとえば、verify.html にユーザー名とパスワードを POST する login.html があるとします。SSL の下に login.html が必要ですか、それとも verify.html だけで十分ですか?
質問する
111 次
2 に答える
5
要約は次のとおりです。
- login.htmlは保護する 必要があります。保護しないと、フォームのアクションの場所が変更されるなど、内容が改ざんされる可能性があります。
- verify.htmlは保護する 必要があります。そうしないと、資格情報が保護されず、盗聴される可能性があります。
- 認証が成功した後のその他すべてを保護する必要があります。そうしないと、セッション ID などの認証情報が盗聴される可能性があります。
于 2012-07-16T07:13:51.240 に答える
1
技術的な観点からは、保護は最低限必要です。login.html も保護すると、さらに 3 つの利点があります。
- ブラウザは、機密情報を処理していることを認識し、セキュリティ ポリシーを適用します。
- 最も重要なことは、ユーザーは、ナビゲーション バーにロックが表示されるため、セキュリティで保護されたアプリケーションを扱っていることを認識できることです。
- ログインのターゲットを変更しようとする中間者攻撃 (資格情報を盗むため) は、もはや不可能です。
いずれにせよ、これは個人データを扱うサイトの各部分に SSL を提供することをお勧めします。
于 2012-07-16T06:18:11.717 に答える