Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 通过JSONP进行SSL登录和注册_Security_Authentication_Login_Https_Jsonp - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 通过JSONP进行SSL登录和注册

Security 通过JSONP进行SSL登录和注册

security authentication login https

Security 通过JSONP进行SSL登录和注册,security,authentication,login,https,jsonp,Security,Authentication,Login,Https,Jsonp,我想通过SSL保护我的站点的登录和注册。我不希望将用户重定向到专用的SSL页面,而是希望站点的登录和注册表单显示在覆盖中,这样在登录后就不需要刷新页面 我还没有看到任何更大的网站使用这种方法。Youtube、Delicious和FriendFeed等网站将用户重定向到专用SSL页面。Facebook做了一个从http到https的表单发布。而其他网站,如Digg和reddit,则完全不使用SSL 为什么没有人使用SSL over JSONP进行用户身份验证?我不存储敏感数据,如个人信息或任何电子

我想通过SSL保护我的站点的登录和注册。我不希望将用户重定向到专用的SSL页面,而是希望站点的登录和注册表单显示在覆盖中,这样在登录后就不需要刷新页面

我还没有看到任何更大的网站使用这种方法。Youtube、Delicious和FriendFeed等网站将用户重定向到专用SSL页面。Facebook做了一个从http到https的表单发布。而其他网站,如Digg和reddit,则完全不使用SSL

为什么没有人使用SSL over JSONP进行用户身份验证?我不存储敏感数据,如个人信息或任何电子商务相关信息。但是我想保护电子邮件地址和密码。

仅在登录时使用HTTPS并没有多大意义,因为您仍在违反。攻击者仍然可以使用类似于劫持会话id的应用程序。关注安全性的服务(如gmail和gihub,即将成为facebook和twitter)在会话期间使用HTTPS

就JSONP而言,确保客户机的请求是HTTPS,并且进一步确保代理请求也是HTTPS,尽管这不像第一跳那么重要。像往常一样,不要忘记。

仅在登录时使用HTTPS真的没有多大意义,因为您仍然在违反。攻击者仍然可以使用类似于劫持会话id的应用程序。关注安全性的服务(如gmail和gihub,即将成为facebook和twitter)在会话期间使用HTTPS

就JSONP而言,确保客户机的请求是HTTPS,并且进一步确保代理请求也是HTTPS,尽管这不像第一跳那么重要。一如既往,不要忘记。

JSONP在这种情况下究竟是如何工作的?它不仅仅是一个带填充的字符串格式结构来防止XSS攻击?我会使用JSONP从HTTP页面向SSL页面发出“Ajax”请求。因此,一个标记将被附加到DOM,src指向托管在SSL上的页面。用户名和密码将作为GET参数传递。但您的用户确实希望看到通过HTTPS加载的登录表单。他们会这样做吗?Facebook在其主页上通过HTTP发布到HTTPs而不受惩罚。Digg和Reddit完全跳过了。澄清一下,我并没有存储个人信息或用于购买的信息等敏感数据。但我想保护电子邮件地址和密码的安全。JSONP在这种情况下到底是如何工作的?它不仅仅是一个带填充的字符串格式结构来防止XSS攻击?我会使用JSONP从HTTP页面向SSL页面发出“Ajax”请求。因此,一个标记将被附加到DOM,src指向托管在SSL上的页面。用户名和密码将作为GET参数传递。但您的用户确实希望看到通过HTTPS加载的登录表单。他们会这样做吗?Facebook在其主页上通过HTTP发布到HTTPs而不受惩罚。Digg和Reddit完全跳过了。澄清一下,我并没有存储个人信息或用于购买的信息等敏感数据。但我想保护电子邮件地址和密码。在登录时使用SSL有助于防止通过纯文本发送用户名和密码。如果用户名和密码被截获,用户的帐户将永久受损。如果用户的会话id被劫持,它只在会话期间有用。您发布的链接很有帮助,我认为没有人使用SSL JSONP登录,因为“应该避免在页面上使用混合SSL,因为它会在浏览器中引起用户警告,并可能暴露用户的会话ID。”OWASP是正确的。但在登录时使用SSL会阻止以明文形式发送用户名/密码。这就是为什么像FriendFeed、Delicious和Facebook这样的网站混合了SSL登录和http内容。当然,如果您处理的是真正敏感的数据,您应该将所有内容都转移到SSL。@user473044是的,toughs网站被FireSheep黑客攻击。会话ID与用户名/密码相同。我看不出仅仅对登录进行加密有什么意义,这是非常短视的。但Firesheep只有在受害者连接到公共wifi网络时才起作用。也许这就是为什么Facebook、Youtube等认为他们可以逍遥法外的原因。或者另一方面,为什么Digg和Reddit根本不关心SSL,因为他们觉得SSL登录不会完成任何事情。:)Rook:许多用户对多个服务使用相同的密码。如果用户/密码以明文形式发送,则攻击者可以访问多个服务,而不仅仅是一个服务。当然,在所有请求上使用SSL是首选,但仅对登录进行加密仍然比完全不加密要好。在登录上使用SSL有助于防止通过纯文本发送用户名和密码。如果用户名和密码被截获,用户的帐户将永久受损。如果用户的会话id被劫持,它只在会话期间有用。您发布的链接很有帮助,我认为没有人使用SSL JSONP登录,因为“应该避免在页面上使用混合SSL,因为它会在浏览器中引起用户警告,并可能暴露用户的会话ID。”OWASP是正确的。但在登录时使用SSL会阻止以明文形式发送用户名/密码。这就是为什么像FriendFeed、Delicious和Facebook这样的网站混合了SSL登录和http内容。当然,如果您处理的是真正敏感的数据,您应该将所有内容都转移到SSL。@user473044是的,toughs网站被FireSheep黑客攻击。会话ID与用户名/密码相同。我看不出仅仅对登录进行加密有什么意义,这是非常短视的。但Firesheep只有在受害者连接到公共wifi网络时才起作用。也许这就是为什么Facebook、Youtube等认为他们可以逍遥法外的原因。或者另一方面,为什么Digg和Reddit根本不关心SSL,因为他们不觉得SSL登录会起作用