Security HTTPS仅用于登录页面-是否建议使用?
我有一个网站,需要用户登录。由于所有内容都不能通过https访问,我们决定只在登录页面上使用httpsSecurity HTTPS仅用于登录页面-是否建议使用?,security,http,login,https,session-cookies,Security,Http,Login,Https,Session Cookies,我有一个网站,需要用户登录。由于所有内容都不能通过https访问,我们决定只在登录页面上使用https 页面上提交的所有其他数据都不敏感,不需要加密 这种方法会损害用户的登录凭据吗?在http上拥有所有其他页面-攻击者可以从用户会话cookie访问凭据吗 我可以看到许多网站采用这种方法,因此我认为它可能是安全的,但我想了解其背后的技术细节。在登录页面上仅使用https是不安全的 这意味着您不使用HST,这是针对SSLSrip的唯一保护 这意味着攻击者可以用其他东西(如向其服务器提交凭据的pop
页面上提交的所有其他数据都不敏感,不需要加密 这种方法会损害用户的登录凭据吗?在http上拥有所有其他页面-攻击者可以从用户会话cookie访问凭据吗
我可以看到许多网站采用这种方法,因此我认为它可能是安全的,但我想了解其背后的技术细节。在登录页面上仅使用https是不安全的
- 这意味着您不使用HST,这是针对SSLSrip的唯一保护
- 这意味着攻击者可以用其他东西(如向其服务器提交凭据的popin)替换您http页面上登录页面的链接
- 一旦用户连接,cookie必须具有安全属性(没有安全属性很容易窃取cookie。请参阅firesheep)
参考:“页面上提交的所有其他数据都不敏感”,谁说?我关心我的隐私。此外,我关心的是能否确保我确实在我认为我是的网站上。此外,如果您使用的是非https专用cookies,它将泄漏出来。如果为应用程序启用了安全标志,则只能为登录页面实现https。这是错误的:如果您具有安全标志(您应该!),则需要验证的页面(登录页面除外)必须是https,否则他们将不会收到身份验证cookie。