Это будет немного сложно объяснить, но я постараюсь изо всех сил.
Существует веб-сайт, на котором есть форма входа в систему на каждой странице с полями имени пользователя и пароля. Эти страницы не используют SSL. После того, как пользователь заполнит имя пользователя/пароль и отправит форму, форма отправляется на страницу аутентификации https.После входа в систему, должны ли все страницы быть https?
У меня есть несколько вопросов об этой ситуации.
- При отправке формы на страницу https зашифрованы данные? Или только после перехода с https-страницы (я предполагаю, что это только происходит)?
- Если ответ на номер один - это лестница, значит ли это, что мне нужно будет использовать https для всех страниц, потому что отсюда переадресовывается форма входа?
- После аутентификации пользователя с помощью https пользователь может быть перенаправлен обратно на http и продолжить использование данных сеанса? Или пользователь должен оставаться в https?
- Лучше/хуже оставить пользователя в https?
Большое спасибо за помощь!
Метрополис
ЗАКЛЮЧЕНИЕ
Итак, после того, как думать об этом некоторое время я решил просто сделать все это по протоколу HTTPS. @Mathew + @Rook, ваши ответы были отличными, и я думаю, что вы оба делаете большие очки. Если бы я был в другой ситуации, я, возможно, делал это по-другому, но вот мои причины для создания всего https.
- Управление запросами на страницы будет проще, так как мне остается только оставаться в https.
- Im не слишком озабочены Performace (в другой ситуации я, возможно, был)
- мне не нужно будет удивляться, если данные пользователей обеспечено как во всех местах
- я буду следовать директиве OWASP, как Грач заявил
Почему этот сайт использует http все время, кроме случаев входа? Я должен был предположить, что они используют сеансы? – Metropolis
Да, как я уже сказал, это компромисс. Можно перехватить и украсть файл cookie стека StackOverflow. Они решили, что готовы рискнуть этой возможностью. –
@Metropolis, потому что это очень распространенное нарушение оваса. Также SO не на 100% безопасен (http://meta.stackexchange.com/questions/46671/captcha-bypass) – rook