场景:我所使用的网页使用HTTP。它包括一个登录表单。表单操作使用HTTPS。
问题:我的登录凭据是安全的,还是我正在使用的页面也必须使用HTTPS?
后续行动:https://twitter.com/falkowski/status/525354785437147136
答案 0 :(得分:0)
从技术上讲,只有表单操作才需要HTTPS。
但是,当您尝试混合安全和不安全的资源时,IE会特别抱怨。此外,具有这样的配置表明该服务的编写者是懒惰的。
该设计将排除最新的安全配置,例如Strict Transport Security& Perfect Forward Secrecy也会阻止网站使用SPDY。糟糕的设计。
从用户的角度来看,更糟糕的是,几乎不可能检查该网站是否使用了安全连接,并且将表单提交更改为不安全而没有任何人更聪明,这将是微不足道的。糟糕的设计!!
我想指出,几年前,当HTTPS是Web服务器上的重大开销时,这是常见做法。事情已经发生了变化,现在情况已经不再如此了。
答案 1 :(得分:0)
另一个帖子的引用:Is it secure to submit from a HTTP form to HTTPS?
TLDR:提交本身在技术上是安全的,但由于周围的页面容易受到MITM攻击,所以不是。