Php 登录后,所有页面是否应为https?
这将有点难以解释,但我会尽我最大的努力Php 登录后,所有页面是否应为https?,php,security,encryption,https,cryptography,Php,Security,Encryption,Https,Cryptography,这将有点难以解释,但我会尽我最大的努力有一个网站,每个页面上都有带有用户名/密码字段的登录表单。这些页面未使用SSL。用户填写用户名/密码并提交表单后,表单将发送到https身份验证页面 关于这种情况,我有几个问题 向https页面提交表单时,数据是否加密?或者仅在从https页面转到(我假设仅从)之后?如果第一个问题的答案是梯形图,这是否意味着我需要对所有页面使用https,因为登录表单将从此处重定向?在用户使用https进行身份验证之后,能否将用户重定向回http并继续使用会话数据?还是用户
有一个网站,每个页面上都有带有用户名/密码字段的登录表单。这些页面未使用SSL。用户填写用户名/密码并提交表单后,表单将发送到https身份验证页面 关于这种情况,我有几个问题
大都会 结论 好吧,在考虑了一段时间之后,我决定把整件事都做成https@马修+@Rook,你们的回答都很好,我认为你们都有很好的观点。如果我处在一个不同的情况下,我可能会采取不同的做法,但以下是我做出这一切的原因
除了Rook所说的之外,从http向https提交表单也是一种风险,原因如下:
但是Rook的观点很重要:你不应该混合使用http和https流量。在我们的网站上,一旦您登录,从那时起,所有内容都是https。除了前面的答案之外,因为出于性能原因,人们倾向于从https转到HTTP,这可能会引起兴趣。其主要信息是: SSL/TLS在计算上不可用 不再贵了
为什么这个网站除了登录外一直在使用http?我必须假设他们正在使用会话?是的,正如我所说,这是一种权衡。可以拦截并窃取StackOverflow会话cookie。他们决定愿意冒这种风险,因为这是一种非常常见的违反owasp的行为。同样,100%安全(@Metropolis:因为他们对会话劫持没有过度的偏执。有时绝对安全是重要的,有时却不重要;StackOverflow相信自己是后者之一(我也同意)。@Dave Sherohman会话劫持并没有伤害到用户,而是用户受到了威胁。个人而言,我尽量遵守OWASP前10名,并且我一直强制使用https。#3违反了OWASP。我应该给你一个-1分。@Rook,我从来没说过它会符合OWASP。我确实说过HTTP允许人们拦截和操纵会话数据。是的,我不认为你把人们引入歧途。该链接是指向imperialviolet.org的,而不是像我在“谷歌”中所预期的那样指向谷歌,并且该链接已断开。@Stephen P,是的,不幸的是,该链接目前已断开。如果你用谷歌搜索链接,你应该能够在缓存中找到文章。虽然确实很难证实,但他们谈论“他们在谷歌的工作”。文章的开头是“(这是我上周四演讲的总结,这是我、纳贡德拉·莫达杜古和万德昌的合著。),见