送信用にフォームデータをSSLで暗号化するのに十分な(HTML)フォームのアクションとしてHTTPSですか?HTTPSはフォームの動作として十分ですか?
また、フォームをホストするページもHTTPSである必要がありますか?
送信用にフォームデータをSSLで暗号化するのに十分な(HTML)フォームのアクションとしてHTTPSですか?HTTPSはフォームの動作として十分ですか?
また、フォームをホストするページもHTTPSである必要がありますか?
フォームがホストされているページがHTTPS経由で配信されない場合は、途中でインターセプトして変更することができます。これらの変更には、フォームのアクションを変更する、または通常どおりフォームを送信する前にJavaScriptを追加してデータを第三者に送信するなどの作業が含まれます。
HTTPSでフォームを送信すると、データを保護するのに十分なではなく、ではありません。フォームもそのように配信する必要があります。
フォームのアクションに関するHTTPSは、フォームの送信を暗号化するのに十分です。
フォームをホストするページは、HTTPSを使用する必要はありませんが、データが安全であることをユーザーに確信させるのに役立ちます。
ホスティングページをセキュリティで保護するもう1つの利点は、中間者がフォームをスプーフィングまたは変更できないことです。
あなたがしたいのは、魔法の暗号の妖精の塵を振り回すだけで十分です。実際に安全にしたいのであれば十分ではありません。 man-in-the-middle攻撃は、単純にフォームHTMLを書き換えて悪意のあるサーバーにポストすることができます。
Twitterの「ログイン」ポップアップボックスはHTTPページから起動しますが、HTTPSページへのアクションは表示されます。 LOL – Dougal