Публикация значений HTML-форм через HTTPS - PullRequest
Новая
       9

Публикация значений HTML-форм через HTTPS

0 голосов
/ 12 октября 2009

У меня есть веб-сайт, который в настоящее время использует https для безопасного входа и транзакций. Вы не можете перейти на основной сайт, если вы не авторизованы.

У меня был запрос от партнера, который спросил, могут ли они беспрепятственно перейти на наш сайт из собственного веб-приложения, не входя в систему. Там также используется https.

Я создал страницу «PartnerLoginPage.aspx» и разрешил им помещать в эту страницу значения HTML-формы POST (они имеют правильные данные для входа в систему). Затем я проверяю их подлинность на основе опубликованных значений и перенаправляю их на основной сайт. Тогда им не нужно входить в систему, я уже аутентифицировал их, и это отлично работает.

Моя самая большая проблема в том, что это не безопасный способ аутентификации пользователя. Если вы отправляете HTML-значения формы на страницу https, данные все еще зашифрованы? Просто ради интереса, если бы их сайт не был http-сайтом (он есть), были бы данные все еще зашифрованы?

например, ИХ HTTPS-> ФОРМОВЫЕ ПОЧТОВЫЕ ЗНАЧЕНИЯ -> НАШИ HTTPS -> ФОРМАТНЫЕ ПОЧТОВЫЕ ЗНАЧЕНИЯ ЗАПИСАНЫ ДАННЫЕ?

и

ИХ HTTP (примечание: нет 's') -> ЗНАЧЕНИЯ ФОРМ ПОСТА -> НАШИ HTTPS -> ЗАПИСАНЫ ЗНАЧЕНИЯ ФОРМ ФОРМЫ?

Спасибо за любую помощь,

Stuart

1 Ответ

0 голосов
/ 12 октября 2009

Конечно, если все ключи действительны ...

Если запрос сделан на странице https, то запрос шифруется (то есть значения POST, которые отправляются через запрос, шифруются независимо от места назначения).

Если запрос сделан со страницы, отличной от https, на страницу https, запрос не зашифрован, но ответ будет таким, поэтому переменные записи НЕ будут зашифрованы (но возвращаемое значение будет).

HTTPS по существу устанавливает, использует ли сервер / страница, на которой идет речь, шифрование или нет, поэтому http -> https = незашифрованный запрос, зашифрованный ответ, https -> http = зашифрованный запрос, незашифрованный ответ.

Конечно, есть уровни безопасности, которые можно установить на уровне сценария, но я не думаю, что ваш ответ беспокоится об этом.

Быстрый пост скрипт

Почему вы не предоставляете партнерским сайтам служебную учетную запись, например "username: partners, pw: sheswithme" или что-то подобное? Вы можете использовать cURL, чтобы настроить cookie и передать переменные сервера и заставить их указывать свою форму на сценарий, который выполняет запрос, вместо того, чтобы пользователи имели полу-прямой доступ к вашему сценарию.

...