如果我正在尝试保护我的登录方法。从不安全的服务器,用户将其登录凭据输入到标准HTML表单中,该表单是POST到安全服务器上的脚本。此脚本执行所有必需的登录功能,并将用户发送回不安全的服务器。
我的问题归结为:登录信息是否在POST到安全服务器之前通过SSL加密,因此阻止任何中间人数据包嗅探。或者所有内容仍然是明确发送的,并且执行POST的表单也必须托管在安全服务器上?
由于
答案 0 :(得分:1)
如果您通过SSL发布信息,那么信息将通过加密的电汇传输,并防止数据包嗅探。
是否可以在安全服务器上托管实际的登录表单页面?这样,当用户登录到您的站点时,他们可以看到登录页面是安全的,并且他们可以确信他们的登录信息将使用SSL发布。否则,将向用户显示一个未加密的页面,要求他们输入他们的凭据,他们无法(不查看HTML源代码)知道他们的信息是否将使用SSL提交。
我遇到的另一个问题是,不安全的服务器如何“知道”用户实际上已经使用安全服务器进行了身份验证?如果使用cookie或浏览器重定向(两者都将在用户被发送回不安全的服务器时未加密)完成,那么任何人都可以轻松读取该信息。此可能是一个安全漏洞,用户的凭据实际上是安全的,但您的应用程序/网站不会受到实际未经过身份验证的个人访问的保护。