Если веб-сайт не использует HTTPS для входа в систему, достаточно ли защищены пароли пользователей?

Question

Этот вопрос пытается выяснить, является ли вход в HTTPS очень важным для любого веб-сайта.

Правда ли, что для многих веб-сайтов, если вход в систему осуществляется через HTTP, но не через HTTPS, любой может легко увидеть идентификатор пользователя и пароль вдоль интернет-магистрали (или, просматривая маршрутизатор и интернет-соединение в Интернет-кафе)?

Если это так ... действительно ли популярные фреймворки действительно используют HTTPS по умолчанию (или хотя бы в качестве опции), такие как Rails 2.3.5 или Django, CakePHP или .Net?

Answer 1

Да, любая машина на пути (через которую проходят пакеты) может просто проверить содержимое этих пакетов.Все, что нужно, - это захват прокси или сетевой карты в случайном режиме с чем-то вроде WireShark.Если предположить, что пароли не зашифрованы каким-либо другим способом (на более высоком уровне), они будут видны.

Я не могу ответить на вторую часть вашего вопроса, так как я не знаю этих конкретных продуктовно я бы сказал, что невозможность использования безопасных сокетов сделает их бесполезными.

Answer 2

Если учетные данные пользователя отправляются через веб-форму HTML без HTTPS, то это небезопасно, данные передаются в виде простого текста. Однако если вместо этого веб-сайт использует HTTP-аутентификацию, сервер может отправить ответ 401 (или 407 для прокси-серверов) на любой запрос, который не предоставляет действительные учетные данные. 401/407 - это способ запроса учетных данных сервером, а в ответе содержится список схем аутентификации (Digest, NTLM, Negotiate и т. Д.), Которые поддерживает сервер, которые обычно сами по себе более безопасны. Клиент / браузер снова отправляет тот же запрос с необходимыми учетными данными в одной из схем, затем сервер либо отправляет запрошенные данные, либо отправляет другой ответ 401/407, если учетные данные отклонены.

Answer 3

Пакс прав в отношении паролей, которые не шифруются иным образом.

Тем не менее, большинство сайтов по-прежнему не используют SSL, и это подвергает пользователей определенной степени риска при доступе к сайтам с общедоступного Wi-Fi.

HTTPS не является опцией уровня платформы, это было бы то, что вы сделали бы, когда настраивали веб-сервер. Если бы вы использовали конфигурацию Apache, например, вы открыли бы его до правильно настроенного https, закрыли http и установили сертификацию. Фреймворк не будет иметь прямого влияния на эту часть релиза.