Безопасно ли отправлять из формы HTTP в HTTPS?

Question

Допустимо ли отправлять из формы http через https? Кажется, что это должно быть безопасно, но это позволяет человеку в середине атаки ( здесь хорошая дискуссия ). Существуют сайты, такие как mint.com , которые позволяют вам входить со страницы http, но размещают сообщения https. На моем сайте просьба иметь целевую страницу http, но иметь возможность безопасного входа в систему. Разве это не стоит возможной угрозы безопасности, и я должен просто заставить всех пользователей перейти на защищенную страницу для входа (или сделать целевую страницу безопасной)?

Answer 1

Я думаю, что основное рассмотрение этого вопроса связано с URL-адресом, который знают пользователи, и схемой протокола (http:), которую браузеры заменяют по умолчанию.

В этом случае нормальным поведением сайта, который хочет обеспечить шифрованный канал, является перенаправление http://home -page на https://home -page . Все еще существует возможность подделки / MitM, но если это связано с отравлением DNS, риск не выше, чем если бы вы начинали с https: URL. Если возвращается другое доменное имя, вам нужно беспокоиться.

Это, вероятно, достаточно безопасно. В конце концов, если вы подвержены целевому MitM, вы также можете начать беспокоиться о клавиатурных регистраторах, локальном файле HOSTS и о других способах обнаружения защищенных транзакций, в которых ваша система уже находится в собственности.