SSL вход и регистрация через JSONP

Question

Я бы хотел, чтобы мой логин и регистрация на сайте были защищены SSL.Вместо того, чтобы перенаправлять пользователей на выделенную страницу SSL, я бы хотел, чтобы формы входа и регистрации на сайте отображались в оверлее, чтобы не требовалось обновление страницы после входа.

Я не видел большесайты используют этот метод.Такие сайты, как Youtube, Delicious и FriendFeed перенаправляют пользователей на выделенную страницу SSL.Facebook создает форму сообщения от http до https.А другие сайты, такие как Digg и Reddit, просто пропускают использование SSL.

Есть ли причина, по которой никто не использует SSL поверх JSONP для аутентификации пользователей?Я не храню конфиденциальные данные, такие как личная информация или информация, связанная с электронной торговлей.Но я хотел бы защитить адреса электронной почты и пароли.

Answer 1

Нет особого смысла использовать HTTPS только для входа в систему, потому что вы все еще нарушаете OWASP A9 . Злоумышленник по-прежнему может использовать приложение, такое как FireSheep , чтобы захватить идентификатор сеанса. Служба, которая заботится о безопасности, такая как gmail и gihub, скоро станет Facebook и Twitter и использует HTTPS для жизни сессии.

С точки зрения JSONP, убедитесь, что запрос клиента является HTTPS, и, более того, убедитесь, что прокси-запрос также является HTTPS, хотя это не так важно, как первый переход. Как всегда, не забывайте о CSRF и JSONP .