HTTPページにはログインフォームを置くべきではなく、常にHTTPSを使用するべきであると言っている多数のstackoverflow答えがあります。しかし、とにかく多くの大きなサイトがThe New York Timesのようにそれを行うのがわかります。私のサイトに貴重な情報が全くないのであればOKですか?関係する取引はなく、個人情報はありません。ブログやニュースのウェブサイトと同等です。私は本当にニューヨークタイムズのようなフロントページのボックスでユーザーにサインしたいと思う。sslを使用しないログインフォーム
いいえ違うです。それは安全ではないですので、あなたのユーザーが同じパスワードを再使用した場合
、それはより重要なアカウントに
を損なう可能性が、Firefoxはそれが安全ではないことをコンソールログに警告します。
トップページにログインしたい場合は、どこでもhttpsを使用してみませんか?設定が簡単で、httpよりも速く(spdy/http2で)、誰もあなたのウェブサイトに広告を挿入しないことを確信しています(いくつかのISPはhttpよりも...)
そしてログイン/パスワードは個人情報。ほとんどの国では、ヨーロッパのように保護の義務があります。
ニューヨークタイムズについては、httpを使用していますが、大きなウェブサイトを移行するのは難しいです。しかし、はい、彼らはhttpsを使用する必要があります。
httpsだけでは不十分であることに注意してください。あなたのウェブサイトはまだsslstrip攻撃の脆弱性があります。パスワードや個人情報を要求するときは、その攻撃に対する唯一の保護手段であるHSTSを使用する必要があります。(https接続を強制しますが、ドメイン全体でhttpsを有効にする必要があります)
これは本当に大変です彼らはチームにセキュリティーの人がいると確信しています – user4421975
@ user4421975彼らはセキュリティを気にせず、彼らの広告が表示されているのを気にしています。 (すべての広告プロバイダがhttpsで動作するわけではありません...) – Tom
Bit harsh。言い訳ではありませんが、既存のサイトや組織をhttpからhttpsに変更するのは難しいでしょう。例:https://www.wired.com/2016/05/wired-first-big-https-rollout-snag/またはhttps://blog.yell.com/2016/03/https-is-hard/最初からすぐに始めるほうがずっと簡単でしたが、高価で難しくなっていたときには、あなたのサイトの一部でhttpsを使用していたのは、かなり共通していました。 –
NYTのログインフォームアクションは、HTTPS URLにPOSTします。 – vcsjones
この質問はsecurity.stackexchange.comに適しています。 –
これはまだokではありませんvcsjones:https://www.troyhunt.com/your-login-form-posts-to-https-but-you/ –