ユーザー名/パスワードの検証には、優れた Web サイトでは https を使用して、クリアテキストのパスワードをネットワーク経由で送信しないようにしています。これを行いたいサイトがある場合-つまり、https経由でログインします。ただし、ログイン後、残りのものは http 経由である必要があります。これは可能ですか?もしそうなら、これを行っているウェブサイトがあまりにも多くないのはなぜですか. そうでない場合、なぜですか?
質問する
177 次
2 に答える
2
Firesheepを読みたいと思うかもしれません。簡単に言うと、この手法により、悪意のある人物がセッションを乗っ取ることができます。
于 2012-09-21T10:42:37.107 に答える
0
はいの場合、これを行っているWebサイトが多すぎないのはなぜですか
エンド ツー エンドの TLS/SSL を使用しないことの通常の言い訳は、Web アプリのパフォーマンスが低下したり、応答時間が遅くなったりすることです。完全に根拠がないわけではありませんが、それでも正当化できません。
そうでない場合、なぜですか?
ユーザー アクセス制御の唯一の本質的に脆弱な側面は、認証段階、つまり、ユーザー名とパスワードを入力して本人であることを証明する段階であると考えられています。組織は、資格情報をクリア テキストで送信するリスクを認識しています。ただし、このプロセスの後、承認はサーバー側で実行され、Web アプリはそこからあなたを信頼し、保護する資格情報がなくなります。
それともありますか?jzakmeister が非常に簡潔に指摘したように、セッション cookie は、ユーザー名とパスワードのペアと同じくらいセキュリティ上重要です。誰かがそれを手に入れた場合、ポストイットでパスワードとユーザー名を見た可能性があります.
于 2012-09-22T04:37:52.627 に答える