1. дома
  2. Вопрос и ответ
  3. пароли открытого текста отображаются в заголовках http

пароли открытого текста отображаются в заголовках http

2013-05-22 5 views
3

Я помогаю тестировать приложение .NET, которое принимает имя пользователя и пароль. Приложение работает через SSL и размещается через iframe на странице, которая также настроена с использованием SSL (так что пользователь может видеть https на родительской странице и уверенно входить в информацию).пароли открытого текста отображаются в заголовках http

Таким образом, чтобы быть ясно, есть страница https://www.mydomain.com/mypage.aspx и внутри этой страницы, есть IFrame, который ссылается на .NET приложения на том же сервере, как https://www.mydomain.com/apps/myapp.aspx

Когда пользователь отправляет страницу, я просматривая заголовки через аддон браузера Filezilla «Live HTTP Headers». К моему ужасу, данные формы, включая имя пользователя и пароль, отображаются в открытом тексте в разделе POST заголовков.

Мое заключение заключается в том, что информация не зашифровывается. Это верно? Если да, то какое наилучшее решение?

источник

2013-05-22 itrickski

+0

Режим аутентификации для приложения - «Формы». – itrickski

ответ

4

Если вы отправляете эти переменные формы через https/SSL, тогда фактическая передача будет зашифрована. Вы сможете просмотреть их в расширении браузера, но браузеру необходимо будет зашифровать их, чтобы отправить их на сервер через SSL, пока сообщение отправляется на https: // не http: //

Затем вы не должны возвращать пару пароля имени пользователя пользователю, но затем должны аутентифицировать пользователя, а затем, если он соответствует, использует что-то вроде проверки подлинности форм для генерации токена, который аутентифицирует их для текущего сеанса.

источник

2013-05-22 14:05:10

+0

спасибо, это имеет смысл !! – itrickski

1

Я не уверен, как настраивается ваша аутентификация .net (окна, формы или паспорт), но аутентификационные билеты шифруются даже без использования SSL. SSL просто обеспечивает связь между клиентом (браузером) и сервером. Из того, что вы описываете, это похоже на то, что форма просто отправляет поля имени пользователя/пароля в качестве параметров по почте или без использования функций аутентификации .Net?

Вот хороший фон на тему: http://msdn.microsoft.com/en-us/library/aa291347%28v=vs.71%29.aspx

Обновление: Я перечитываю ваши вопросы: Его теперь ясно мне, что вы используете .net Basic Authentication + SSL. Это должно работать нормально, поскольку SSL будет охватывать вас в части шифрования, которой не хватает в базовой аутентификации. Вам просто нужно убедиться, что установка правильная. Что касается добавления FF, вы просто смотрите на информацию, доступную клиенту (отправителю), и третья сторона не сможет этого сделать.

источник

2013-05-22 14:05:05

+1

Если вы отправляете имя пользователя и пароль в формате HTML, они не будут зашифрованы в почтовом запросе. Но они будут зашифрованы в SSL. После того, как сервер получил их, вы не должны отправлять их обратно, но используя что-то вроде проверки подлинности с помощью форм и т. Д., Чтобы управлять пользователем с –

+0

, поэтому, если они не зашифрованы в почтовом запросе, это что-то, что можно понюхать? я думаю, я не уверен в порядке вещей (когда происходит SSL). Я думал, что почтовый запрос был отправлен с клиента на сервер. Итак, когда происходит шифрование SSL? мне нужно быть обеспокоенным тем, что я могу видеть их в текстовом сообщении post request ... могут ли другие видеть их? приложение использует «Формы» в качестве режима аутентификации. – itrickski

Смежные вопросы

 Смежные вопросы