0

安全なログインとトランザクションのために現在httpsを使用しているWebサイトがあります。ログインしない限り、メインサイトに移動することはできません。

パートナーから、ログインせずに自分のWebアプリケーションからシームレスにサイトに移動できるかどうかを尋ねられました。httpsを使用しているサイトもあります。

「PartnerLoginPage.aspx」ページを設定し、htmlフォームの値をこのページにPOSTできるようにしました(正しいユーザーログインの詳細があります)。次に、投稿された値に基づいてそれらを認証し、メインサイトにリダイレクトします。彼らはログインする必要はありません、私はすでに彼らを認証しました、そしてそれは完全に働きます。

私の最大の懸念は、これがユーザーを認証する安全な方法ではないということです。htmlフォームの値をhttpsページにPOSTした場合、データはまだ暗号化されていますか?興味深いことに、彼らのサイトがhttpサイトではなかったとしても(そうです)、データは暗号化されたままでしょうか?

例:HTTPS-> FORM POST VALUES-> OUR HTTPS-> FORM POST VALUES DATA ENCRYTPED?

それらのHTTP(注:「s」はありません)->フォームの投稿値->私たちのHTTPS->フォームの投稿値は暗号化されていますか?

助けてくれてありがとう、

スチュアート

4

1 に答える 1

0

もちろん、すべてのキーが有効であると仮定します...

リクエストがhttpsページで行われる場合、リクエストは暗号化されます(つまり、リクエストを介して送信されるPOST値は、宛先に関係なく暗号化されます)。

https以外のページからhttpsページにリクエストが行われた場合、リクエストは暗号化されませんが、応答は暗号化されるため、post変数は暗号化されません(ただし、返される値は暗号化されます)。

HTTPSは基本的に、通信しているサーバー/ページが暗号化を使用しているかどうかを設定するため、http-> https =暗号化されていない要求、暗号化された応答、https-> http =暗号化された要求、暗号化されていない応答。

もちろん、スクリプトレベルで設定できるセキュリティのレベルはありますが、あなたの答えはそれについて心配していないと思います。

クイック投稿スクリプト

パートナーサイトに「username:partners、pw:sheswithme」などのサービスアカウントを与えてみませんか?cURLを使用してCookieを設定し、サーバー変数を渡して、ユーザーがスクリプトに半直接アクセスする代わりに、リクエストを行うスクリプトをフォームにポイントさせることができます。

于 2009-10-12T12:25:32.000 に答える