10
送信用にフォームデータをSSLで暗号化するのに十分な(HTML)フォームのアクションとしてHTTPSですか?HTTPSはフォームの動作として十分ですか?
また、フォームをホストするページもHTTPSである必要がありますか?
A
答えて
11
フォームがホストされているページがHTTPS経由で配信されない場合は、途中でインターセプトして変更することができます。これらの変更には、フォームのアクションを変更する、または通常どおりフォームを送信する前にJavaScriptを追加してデータを第三者に送信するなどの作業が含まれます。
HTTPSでフォームを送信すると、データを保護するのに十分なではなく、ではありません。フォームもそのように配信する必要があります。
4
フォームのアクションに関するHTTPSは、フォームの送信を暗号化するのに十分です。
フォームをホストするページは、HTTPSを使用する必要はありませんが、データが安全であることをユーザーに確信させるのに役立ちます。
ホスティングページをセキュリティで保護するもう1つの利点は、中間者がフォームをスプーフィングまたは変更できないことです。
2
あなたがしたいのは、魔法の暗号の妖精の塵を振り回すだけで十分です。実際に安全にしたいのであれば十分ではありません。 man-in-the-middle攻撃は、単純にフォームHTMLを書き換えて悪意のあるサーバーにポストすることができます。
関連する問題
- 1. SQLiteは十分ですか?
- 2. ユニットテストは十分ですか?
- 3. フォーム認証チケットは十分安全ですか?
- 4. コントローラのリクエストはhttpsとhttpで正常に動作します。 httpsでのみ動作するはずです
- 5. const_iteratorをconstイテレータとして宣言することは十分ですか?
- 6. Google App Engine Quotasは十分ですか?
- 7. typescriptは十分に堅牢ですか?
- 8. mysql_real_escape_string()はMySQL REGEXPに十分ですか?
- 9. インポートは十分
- 10. はESlintとの統合検証で十分ですか?
- 11. jQueryのhide()メソッドとshow()メソッドが十分に速く動作しない
- 12. pandas.isnull()が十進数型で動作していませんか?
- 13. ドキュメントレベルのトランザクションで十分ですか? (mongodb)
- 14. 自分で作成しているライブラリのカットアンドドライAJAX機能。これで十分でしょうか?
- 15. DynamoDBの自動スケーリングが十分
- 16. バッシュパイプラインシェルスクリプトは不十分
- 17. HTTPSからHTTPSへのリダイレクトがApacheで動作しない
- 18. 隠しフィールドのCAPTCHAは十分安全ですか?
- 19. ユニットテストと受け入れテストは十分ですか?
- 20. 私のウェブブラウザはhttpsリンクでのみ動作しますか?
- 21. 権限が不十分ですテーブルを作成します
- 22. Play Frameworkは次の大きなアプリにとって十分ですか?
- 23. OSX Lion:rvmと自作のCCを十分にエクスポートしますか? CXX、CPP、CXXPPはどうですか
- 24. 十分なトランザクションでコミットを使用していますか?
- 25. EWS Managed API:PullSubscription - 退会しても十分ですか?
- 26. サインアップとニュースレターのフォームは、プレstashop1.6で動作していない
- 27. m68k十進法から十進法へ正しく動作しない
- 28. httpsは正常に動作していますか?
- 29. httpsフォームへのPOSTは常に動作しているとは限りません
- 30. Androidスタジオはモバイルゲームを作成するのに十分なツールですか?
Twitterの「ログイン」ポップアップボックスはHTTPページから起動しますが、HTTPSページへのアクションは表示されます。 LOL – Dougal