AspNet.Identity のログイン ページから aspx Web の作業を開始しました。私は自分のフィールド、ユーザー名とパスワード (textmode="Password") と送信ボタン (asp:button) をいつものように持っており、ログインなどを行うためのコード ビハインドがあります。
私の質問は、ユーザーが送信をクリックすると、パスワードはどのようにサーバーに送信されるのですか? パスワードがクリアテキストで送信されないようにするために、SSL を使用する必要がありますか?
編集 StackOverflow のログイン ページは HTTPS 経由ではありません - 彼ら (および HTTPS を使用しない他のサイト) はパスワード送信をどのように管理しますか?
ブラウザから送信されたすべてのデータはクリアテキストで送信されると言えます (つまり、ブラウザ自体がデータを暗号化することも、データがサーバー側スクリプトに到着したときに復号化が必要になることもありません)。すべての暗号化 (存在する場合) は、プロトコル レベルで実行されます。
プレーン HTTP は、それを介して送信される情報を暗号化しないため、単純な検査 (中間者攻撃、盗聴) が可能になります。一方、HTTPS は安全でないネットワーク上に安全なチャネルを作成し、前述の攻撃から十分に保護します。
それに対する 1 つの注意点はGET、サーバーにデータを送信するために使用することです。この情報は、サーバー ログに簡単に記録されます。
主な問題は、誰かがクライアントからサーバーへのトラフィックをリッスンできる場合、サーバーがクライアントに送信するものを操作できることです。この問題により、javascript マジックを実行して非表示にしようとするすべての試みが無効になり、労力が失われます。
言い換えれば、当面の間、あなたを助けるのは SSL だけです。