私はhttp://www.domain.com/page.htmlにいるとしましょう。HTMLフォームの提出 - 基本的な前提
私はこのフォームを送信したい:
<FORM METHOD="post" ACTION="https://DifferentSite.com/processForm.aspx">
....
</FORM>
は、実際に任意の時点で、フォームからの情報のいずれかを見てwww.domain.comのサーバですか?または、これはクライアントから直接DifferentSite.comに直接来ていますか?
私が尋ねる理由は、例えば上記のように、フォーム提出はHTTPSを呼び出し、私がいるサイトはHTTPのみ(SSLなし)です。また、domain.comサーバがフォーム情報を(暗号化されていても)表示して送信する場合は、PCIコンプライアンスへの影響もあります。
ありがとうございます。
www.domain.comのサーバーは、実際にANYポイントのフォームの情報を見ていますか?
本質的にではありませんが、提出する前にJavaScriptでスニッフィングできます(または、そのサイトで設定されているのでURLを変更することもできます)。
または、これは直接クライアントから直接DifferentSite.comに送信されますか?
はい
上記のように、私は例えば、頼む理由は、フォームの送信は、HTTPSを呼び出して、私は上だサイトはHTTPのみ(SSL)です。
中間者攻撃は、データを他の場所に送信する(または他の場所にコピーして、送信を意図したサイトに継続させる)ためにフォームを書き換えることができます。
フォームHTML(www.domain.com)を送信したサーバーには、送信されたデータは表示されません。それはDifferentSite.comに直接行き、DifferentSite.comの公開鍵で暗号化されているため、www.domain.comはデータを受け取ってもそれを調べることができませんでした。
ありがとうございます。フォームアクションが暗号化されていないとふりましょう。サーバーがこのフォームデータを見ることも可能ですか? – Shackrock
いいえ。データは依然としてクライアントとDifferentSite.comの間で別の接続を経由します。 www.domain.comはその相互作用を認識しません。 –
このすべてはプレーンなHTMLを想定しており、Webページには、元のサイト(www.domain.com)にデータを送信するJavaScriptが含まれていません。 –
中東の人、つまり私は偽装されたサイトにいますか? Javascriptについての良い点は、どのようにユーザーが安全であることを知ることができたか? – Shackrock
多かれ少なかれ。真ん中にいる人は、元のサイトから情報を得て、それにデータを戻しますが、転送中のデータを監視または操作します。 – Quentin
ユーザーがサイトAにいる場合(サイトAのセキュリティ弱点を防ぎます)、送信したデータはサイトAを信頼するという制限に安全であると信じられます。フォームがサイトAにあるがサイトBに送信されている場合彼らはサイトAを信用しています(そして、うまくいけばサイトBへのデータの送信はその信頼の悪用ではありません)。 JavaScriptはサイトAの一部であるため、違いはありません。 – Quentin