Безопасен ли POST от HTTP до HTTPS?

Question

У меня есть страница HTTP с формой. Если я установлю действие на страницу HTTPS, будет ли запрос защищен? Обрабатывает ли браузер все данные перед отправкой в ​​сеть? Или я должен использовать HTTPS для всего моего сайта?

Answer 1

Да, это будет безопасно, если местоположение, в которое отправляется ваша форма, - HTTPS.

Однако пользователи могут испугаться, что в их браузере на странице с формой нет значка блокировки. Возможно, вам будет лучше с точки зрения удобства использования, если обе страницы будут HTTPS.

Answer 2

Нет. Трой Хант идентифицирует простую атаку «человек посередине» , которая показывает, что отправка из HTTP в HTTPS ни в коем случае не является безопасной. С распространением бесплатного Wi-Fi эту атаку будет очень просто выполнить.

http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html

Answer 3

Да. Пока запрос, который должен быть защищен, является https, вы в порядке.

При этом многие ключевые сайты, в том числе gmail, перестали утруждать себя разделением небольших разделов своего сайта на https и просто сделали весь сайт https. Это проще и безопаснее, и вы мало что теряете в производительности.

Answer 4

Не делай этого!

Рассмотрим атаку MITM, когда злоумышленник, сидящий на проводе где-то между сервером и клиентом, изменяет форму входа в систему до того, как он достигнет клиента. Форма входа теперь включает кейлоггер или указывает действие POST на фишинговую страницу вместо подлинного сервера. Для конечных пользователей нет предупреждений или подсказок по пользовательскому интерфейсу, поэтому они продолжают и отправляют форму.

Рассмотрим атаку MITM, в которой злоумышленник развертывает «бесплатный Wi-Fi» в кафе (через точку доступа смартфона или что-то еще). Когда ничего не подозревающие люди используют этот «бесплатный Wi-Fi» для входа в систему с помощью формы HTTP, даже несмотря на то, что он выполняет процедуру POST для HTTPS, злоумышленник может увидеть учетные данные открытого текста пользователя, проанализировав их сетевой трафик в точке доступа.

Ссылки:

• TLS и SSL в реальном мире
• SSL Strip
• Ваша форма входа отправляется на HTTPS, но вы взорвали ее, когда загрузили по HTTP
• Безопасно ли отправлять из HTTP-формы HTTPS?

Answer 5

Фактическая передача данных из вашей формы на сервер шифруется при публикации по HTTPS.Если это то, что вы подразумеваете под безопасностью, то да, это безопасно.

Я думаю, что вы понимаете в своем вопросе, как насчет клиентской части, читающей форму до публикации.Это, безусловно, возможно, HTTPS или нет.

В другой заметке вы, вероятно, должны использовать HTTPS для реальной формы.Некоторые браузеры предупреждают пользователей, поскольку их сообщения перенаправляются через границу HTTP / HTTPS.Кроме того, я не думаю, что ваши пользователи будут рады заполнить форму, в которой не будет отображаться защищенный значок.

Answer 6

Если вы установите действие HTTPS, это действительно будет безопасно. Прежде чем что-либо случится через HTTPS, должно произойти рукопожатие, и браузер, отправляющий данные, должен будет сделать это, когда произойдет действие.