Существует множество ответов stackoverflow, в которых говорится, что вы никогда не должны вводить свою форму входа на страницу HTTP, но всегда используете HTTPS. Но я вижу, что многие крупные сайты делают это в любом случае, например, The New York Times. Считается ли это правильным, если у меня нет абсолютно никакой ценной информации на моем сайте? Нет никаких транзакций и личной информации. Это эквивалентно блогу или новостному сайту. Я бы очень хотел подписать пользователей с помощью коробки на главной странице, например The New York Times.Форма входа без ssl
ответ
Нет, это не нормально.
Если пользователи повторно использовать тот же пароль, то это может поставить под угрозу более важные счета
Потому что это небезопасно, Firefox предупреждает в журнале консоли, что он не защищен.
Если вы хотите получить логин на своей главной странице, почему бы не просто использовать https везде? Это проще настроить и быстрее (с spdy/http2), чем http, и вы уверены, что никто не вставляет рекламу на ваш сайт (некоторые интернет-провайдеры делают, чем на http ...)
И, логин/пароль - это личная информация. В большинстве стран, как и в Европе, у вас есть обязательство по защите.
О Нью-Йорк Таймс, да, они используют http, но труднее переносить большой веб-сайт. Но да, они должны использовать https.
Обратите внимание, что одного только https недостаточно: ваш сайт может быть уязвим для атак sslstrip. При запросе паролей или личной информации вы должны использовать HSTS, единственную защиту от этой атаки. (Это приведет к соединению https, но для этого вы должны активировать https для всего домена)
Это действительно странно, так как существует МНОГО МНОГО крупных сайтов, которые это делают и Я уверен, что у них есть сотрудники безопасности – user4421975
@ user4421975 Они не заботятся о безопасности, им небезразлична их реклама. (и не все рекламные ролики работают с https ...) – Tom
бит суровый. Не оправдание, но может быть трудно изменить существующий сайт и/или организацию с http на https. Например: https://www.wired.com/2016/05/wired-first-big-https-rollout-snag/ или https://blog.yell.com/2016/03/https-is-hard/ Намного легче начать с самого начала, но только с использованием https на некоторых ваших сайтах раньше было довольно часто, когда это было дорого и сложнее. –
- 1. iframe защищенная форма SSL на сайте без SSL
- 2. Форма входа в систему без вызова (адаптер)
- 3. Форма входа без базы данных и сервера
- 4. Форма входа с ajax
- 5. Node.js, MongoDB Форма входа
- 6. ssl на форме входа?
- 7. двухмерных HTML форма входа
- 8. Безопасная аутентификация без SSL
- 9. SSL в оверлейном окне для входа
- 10. анонимная форма ASP.net с SSL, sharepoint
- 11. PHP Форма входа
- 12. Backbone.js форма для входа
- 13. Форма входа/пароль
- 14. Форма входа не исчезает
- 15. PHP - Форма входа
- 16. Форма входа в Django
- 17. AJAX форма для входа
- 18. JQuery mobile Форма входа
- 19. RoR - простая форма входа
- 20. Netbeans Форма входа
- 21. Администраторская форма входа django
- 22. Весна Безопасность Форма входа
- 23. Форма входа и регистрация
- 24. PHP: Получить Форма входа
- 25. Форма входа PHP MySqli
- 26. Пользовательская форма входа в PHP
- 27. Форма входа, текст после флажка
- 28. Facebook-логин без SSL
- 29. Пользовательская форма входа Yii2 Basic
- 30. CasperJS Форма входа успеха ожидания
Почтовый адрес в формате '' 'входа в систему NYT на HTTPS-адрес. – vcsjones
Этот вопрос лучше подходит для security.stackexchange.com. –
Это все еще не нормально vcsjones: https://www.troyhunt.com/your-login-form-posts-to-https-but-you/ –