1

私のWebアプリケーションは、既存のシッククライアントアプリケーションを介して起動されます。起動すると、userIDや追加のコンテキスト情報(基本的にはターゲットユーザーの名前、誕生日など)などの情報を含むHTTPPOSTリクエストが生成されます。

私の認証の計画は、データベースにルックアップテーブルがあることです。ユーザー名がすでに存在する場合は、ユーザーに自動的にログインしますが、データベースにエントリがない場合は、そのデータベースエントリの作成に使用される最初のログインページにユーザーをリダイレクトします。

私の質問は、MITMやその他のセキュリティホールからこれを保護する方法です。シッククライアントを介して生成された要求をSSL接続で行うにはどうすればよいですか?最初にSSL接続をユーザー名(およびパスワード)で認証する必要はありませんか?その場合、ユーザーがログインするまで、追加のコンテキスト情報は公開されますか?

これが基本的なセキュリティ101の質問である場合は申し訳ありません。セキュリティの基本についてどこで読むかについての参考資料も大歓迎です。

4

1 に答える 1

2

いいえ、SSLは機能するためにユーザー名やパスワードを必要としません。SSLは、クライアントとサーバー間のデータのみを暗号化します。SSLを介して完全に匿名でアクセスされるサイトにサービスを提供できます。ほとんどの場合、ログインクレデンシャルと、それらのクレデンシャルを使用してアクセスされる情報を暗号化する必要があるため、SSLとログインは同じです。

この方法を使用する場合は、ユーザーIDとその他の情報をSSLサイトに投稿するだけです。投稿と応答は暗号化されます。Webページを使用すると、次のようになります。

<form method="POST" action="https://mysite.com/login">

アプリケーションから生成する場合は、投稿先のURLを作成するときにhttps://を使用するだけです。

その他のセキュリティ上の懸念については、計画されている展開の全体的なセキュリティについて説明するのに十分な情報がありませんが、SSLと暗号化に関する最初の質問は上記で処理する必要があります。

于 2010-07-13T13:56:42.173 に答える