Security HTTPS仅用于登录页面-是否建议使用？_Security_Http_Login_Https_Session Cookies

Security HTTPS仅用于登录页面-是否建议使用？

security http login https

Security HTTPS仅用于登录页面-是否建议使用？,security,http,login,https,session-cookies,Security,Http,Login,Https,Session Cookies,我有一个网站，需要用户登录。由于所有内容都不能通过https访问，我们决定只在登录页面上使用https 页面上提交的所有其他数据都不敏感，不需要加密这种方法会损害用户的登录凭据吗？在http上拥有所有其他页面-攻击者可以从用户会话cookie访问凭据吗我可以看到许多网站采用这种方法，因此我认为它可能是安全的，但我想了解其背后的技术细节。在登录页面上仅使用https是不安全的这意味着您不使用HST，这是针对SSLSrip的唯一保护这意味着攻击者可以用其他东西（如向其服务器提交凭据的pop

我有一个网站，需要用户登录。由于所有内容都不能通过https访问，我们决定只在登录页面上使用https

页面上提交的所有其他数据都不敏感，不需要加密

这种方法会损害用户的登录凭据吗？在http上拥有所有其他页面-攻击者可以从用户会话cookie访问凭据吗

我可以看到许多网站采用这种方法，因此我认为它可能是安全的，但我想了解其背后的技术细节。

在登录页面上仅使用https是不安全的

这意味着您不使用HST，这是针对SSLSrip的唯一保护

这意味着攻击者可以用其他东西（如向其服务器提交凭据的popin）替换您http页面上登录页面的链接

一旦用户连接，cookie必须具有安全属性（没有安全属性很容易窃取cookie。请参阅firesheep）

唯一安全的方法是在域的所有页面中使用https，使用HST并将所有http请求重定向到https。
这种方法会损害用户的登录凭据吗？在http上拥有所有其他页面-攻击者可以从用户会话cookie访问凭据吗
攻击者可以窃取会话cookie，因此他可能会造成很多伤害（取决于您的安全措施、更改密码、电子邮件、提取个人数据……），并且他可以模拟断开连接并在http网页上再次请求密码
我可以看到很多网站都有这种方法，所以我认为它可能是安全的
不，不是。他们的网站可能太大，无法在任何地方打开https，所以他们尽了最大努力限制损害。（或者他们只是懒惰）

如果为应用程序启用了安全标志，则只能为登录页实现HTTPS。安全标志将阻止以明文形式传输cookie。未能使用“安全”标志使攻击者能够通过诱骗用户的浏览器向站点上的非HTTPS页面提交请求来获取会话cookie

HTTPS应用于登录页面和所有其他经过身份验证的页面。登录页面上的HTTPS以加密格式传递凭据，但所有其他授权请求以非加密格式传递意味着，如果任何HTTP请求使用会话ID，则会话ID将以明文形式传输
最好的方法是对所有页面使用HTTPS，以确保以加密格式传输完整的数据

参考：
“页面上提交的所有其他数据都不敏感”，谁说？我关心我的隐私。此外，我关心的是能否确保我确实在我认为我是的网站上。此外，如果您使用的是非https专用cookies，它将泄漏出来。如果为应用程序启用了安全标志，则只能为登录页面实现https。这是错误的：如果您具有安全标志（您应该！），则需要验证的页面（登录页面除外）必须是https，否则他们将不会收到身份验证cookie。