私たちは新しいウェブサイト(Aなど)を立ち上げており、ユーザー名/パスワードを持っており、私たちはHTTPサイトです。私たちは別の内部ウェブサイト(Say B)であるが、そのウェブサイトはHTTPSサイトである別のサイトにユーザー名/パスワード情報を載せています。私たちの 'A'サイトは認証と認証を扱っておらず、データベース 'B'から 'A'へのバック通信(そのようなエラー処理のためのもの)もありません。私たちはそれらをBのウェブサイトに転送し、戻ってくることはありません。Http to Https POST
私の質問は
ですが、私がHTTPからHTTPSサイトに投稿していた情報は安全ですか?はいの場合どのように安全です。もしそうでなければ。
データはブラウザからウェブサイトB、、しかしに暗号化されます。エンドユーザは、ウェブサイトBがそれが主張する人物であるという保証はありません。安全な情報を偽のサイトに配信する「中間の人間」の攻撃が使用される可能性があります。
したがって、ログインページはWebサイトBでホストされ、SSL(https)を使用して配信される必要があります。
ユーザがサイトAで実行されているスクリプトが存在しないことを確認できれば、安全であることを確認することができます。それは一般的に悪いことですが、フォームターゲットを変更したり、サイトAのコンテキストで悪意のあるスクリプトを挿入してパスワードを盗み出して送信してから安全な)サイトB.
データを盗むためのスクリプトは必要ありません。プロキシはPOSTフォームの宛先を変更できます。私の他のコメントを参照してください。 –
@Ray Henry:プロキシがデータを取得する方法は2つあります.1つはフォームのアクションURLを変更することです(ソースを参照することで簡単に検出できます)。クライアント側のスクリプトを使用します。スクリプトがないということは、そこにスクリプトがないことが分かっていれば、フォームの動作を確認してデータがどこに行くかを確認することができるということです。 – Yuliy
エンドユーザーは、 POSTの送信先が偽でないかどうかを確認するページのソース。私は、ログインページ(フォームを含む)がhttpsによって配信されるべきであるという私の答えに立っています。これは、ページが保護され、ホストが既知で信頼できることをユーザーに示します。 –
と言います。中間の人間が写真に入り、暗号化された情報を偽のサイトにリダイレクトするとします。リダイレクトされた情報を復号化することは可能でしょうか?また、彼はどのようにして偽のサイトにリダイレクトしますか? – pushya
"中間の人物"(プロキシ)が暗号化されていないhttpページを傍受し、フォームのPOST宛先を偽のサイトに変更するという考えがあります。したがって、機密データが送信されると、それは偽の鍵で暗号化され、偽のサイトに配信され、そこで復号されます。これは起こりそうですか?実際はありませんが、これは可能です。使用しているネットワーク(たとえば、分離されたイントラネット)を完全に制御しない限り、説明するシナリオは完全に安全とはみなされません。 –
私はこれが何かを意味するのか分かりません。あなたは "安全な" httpsサイトからも "偽のサイト"にPOSTすることができます。 –