Структура входа в систему SSL

Question

У меня есть только фото и видео галерея знаменитостей, только для профессионалов СМИ. Он настроен на выделенном сервере, и я недавно установил подстановочный SSL-сертификат.

У меня есть основной общедоступный веб-сайт, который рекламирует наши услуги, размещает регистрационные формы и имеет безопасную форму входа. Форма входа в систему после отправки отправляется на тот же сервер, но в другую учетную запись / каталог, например:

From: https://www.mydomain.com/login
To: https://subdomain.mydomain.com/login

... и затем обрабатываются данные для входа.

Должна ли моя страница входа быть на https://, когда они приходят на нее, или моей форме входа необходимо action="https://...", чтобы сделать ее безопасной? Я не знаком с тем, как работает SSL.

Answer 1

Если целевая страница с формой входа не HTTPS, то злоумышленник может доставить то, что ему нужно, и просто переписать страницу на http. SSLStrip - это инструмент, который злоумышленник может использовать для выполнения этой атаки.

Но что более важно, кого волнует страница входа? Конечно, он должен быть защищен, но имя пользователя и пароль не так, как аутентифицирует браузер. Браузер использует куки для аутентификации в вашем веб-приложении, это настоящий маркер аутентификации . Это на самом деле ничего не значит, если вы авторизуетесь через https, а через несколько секунд просто выдадите токен аутентификации. весь сеанс должен быть больше https , иначе вы будете нарушать owasp a9 .