ログイン方法を保護しようとしている場合。セキュリティ保護されていないサーバーから、ユーザーはログイン資格情報を標準HTMLフォームに入力します。これは、セキュアサーバー上のスクリプトへのPOSTです。このスクリプトは、必要なすべてのログイン機能を実行し、ユーザーを安全でないサーバーに戻します。安全なログイン
私の質問は次のとおりです。ログイン情報が安全なサーバーにポストされる前にSSLで暗号化されているため、man-in-the-middleパケットスニッフィングが防止されます。または、すべてがまだクリアで送信されており、POSTingを実行するフォームは安全なサーバーでもホストされなければなりませんか?あなたがSSL経由で投稿する場合
おかげ
は、情報が暗号化されたワイヤーの上に移動すると、パケットスニッフィングを防ぐことができます。
実際のログインフォームページをセキュリティで保護されたサーバーにもホストすることはできますか?こうすることで、ユーザーがあなたのサイトにログインすると、ログインページが保護され、SSLを使用してログイン情報が投稿されることが確信できます。それ以外の場合は、暗号化されていないページがユーザーに表示され、資格情報の入力を求められ、情報がSSLを使用して送信されるかどうかを知るための方法はありません(HTMLソースの表示が不十分です)。
もう1つの質問は、セキュリティ保護されていないサーバーが、ユーザーが実際にセキュリティで保護されたサーバーで認証されていることを「知っている」ことですか?クッキーまたはブラウザのリダイレクトを使用して行われている場合(どちらもセキュリティ保護されていないサーバーに返送されるため暗号化されません)、その情報は誰でも簡単に読み取ることができます。このはで、ユーザーの資格情報は実際には安全ですが、アプリケーション/ Webサイトは実際に認証されていない個人がアクセスすることから保護されていません。