ログイン方法を保護しようとしている場合。セキュリティで保護されていないサーバーから、ユーザーはログイン資格情報を標準の HTML フォームに入力します。これは、セキュリティで保護されたサーバー上のスクリプトに POST します。このスクリプトは、必要なすべてのログイン機能を実行し、ユーザーを安全でないサーバーに送り返します。
私の質問はこれに要約されます: ログイン情報は SSL を介して暗号化された後、安全なサーバーに POST されるため、中間者によるパケット スニッフィングが防止されます。それとも、まだすべてが平文で送信されており、POST を実行するフォームも安全なサーバーでホストする必要がありますか?
ありがとう
SSLを介して投稿する場合、情報は暗号化されたネットワーク上を移動し、パケットスニッフィングを防ぎます。
安全なサーバーで実際のログインフォームページをホストすることもできますか?そうすれば、ユーザーがサイトにログインするときに、ログインページが保護されていることを確認でき、SSLを使用してログイン情報が投稿されることを確信できます。それ以外の場合、ユーザーには暗号化されていないページが表示され、資格情報の入力を求められ、SSLを使用して情報が送信されるかどうかを知る方法がありません(HTMLソースを表示する以外)。
私が持っているもう1つの質問は、セキュリティで保護されていないサーバーが、ユーザーが実際にセキュリティで保護されたサーバーで認証されたことをどのように「知る」のかということです。Cookieまたはブラウザリダイレクト(ユーザーがセキュリティで保護されていないサーバーに送り返されるため、どちらも暗号化されません)を使用して行われている場合、その情報はネットワーク上の誰でも簡単に読み取ることができます。これは、ユーザーの資格情報が実際には安全であるが、実際に自分自身を認証していない個人によるアクセスからアプリケーション/Webサイトが保護されていないセキュリティホールである可能性があります。