1

PCIコンプライアンスに問題があります。基本的に、フィールドが存在https://するすべてのページに追加してほしいとのことです。passwordこれはちょっと奇妙です。

私のフォームはindex.php次のようになります。

 <form method=post action="login.php" id="login">
 <input type="text" size="16" maxlength="30" name="login" id="login_user" />
 <input type="password" size=16 maxlength="20"  name="pass" class="ifield" id="login_pass"/>
 <input name="msubmit" type="submit" value="Login" />
 </form>

https:に投稿しようとしまし<form method=post action="https://test.com/login.php" id="login">たが、テストは失敗します。

この問題をどのように修正すればよいですか?

4

2 に答える 2

4

まず、SSLをサポートするようにWebサーバーを構成する必要があります。SSL証明書を購入し、ポート80とポート443の両方で要求に応答するようにWebサーバーを構成する必要があります。

これらの変更を完了すると、上記で投稿したURLを介してサイトのSSLバージョンに投稿するようにフォームに指示できるようになります。

コンプライアンスルールで必要な場合は、SSLバージョンのサイトでフォーム自体をロードする必要がある場合もあります。この場合、フォームへのすべてのリンクを更新して「https://」バージョンを指すようにするか、Webサーバールールを変更してフォームへのすべてのリクエストを「https://」バージョンに転送することができます。

于 2011-09-21T19:18:59.157 に答える
-2

客観的なセキュリティ (PCI ではなく) の観点からは、フォームにそのまま入力し、SSL 経由で https アドレスに投稿することに問題はありません。空白のフォームが最初に表示されたページが安全なページであったかどうかは関係ありませんが、多くの人はそうではないと考えています (間違っています)。セキュリティで保護されたページにフォームを表示することはマーケティングです。そうすることで、人々はより快適に感じることができます。https 経由で送信することは、実際の安全な部分です。

多くの PCI コンプライアンス要件は、実際のセキュリティとは対照的に、架空のものであるか、マーケティングやセキュリティの認識に関するものです。フォームが非 SSL ページに表示されているという理由だけでスキャナーがフラグを立てている場合、セキュリティへの影響がないため、正当にその発見に異議を唱えることができます。問題のフォームが、適切にアクセスされた場合でも、サーバー管理または個人情報へのアクセスを許可しない場合は、調査結果に正当に異議を唱えることもできます. ただし、ログインのプロセスで個人情報やサーバー管理へのアクセスが許可されている場合は、セキュリティで保護されたポート経由で送信されていることを確認する理由がいくつかあります。

于 2011-11-19T00:41:03.620 に答える