Отправить пароль из формы по HTTP на php скрипт по HTTPS - PullRequest
Новая
       20

Отправить пароль из формы по HTTP на php скрипт по HTTPS

0 голосов
/ 09 марта 2011

У меня есть форма входа, расположенная на моей домашней странице по HTTP. Я хочу, чтобы пользователь набрал там свое имя пользователя и пароль (в качестве ярлыка), а затем отправил переменные в мой сценарий входа в систему по протоколу HTTPS.

Достаточно ли безопасно сделать это таким образом? Я действительно не хочу, чтобы домашняя страница работала по HTTPS, так как она замедляет работу без какой-либо выгоды, за исключением, конечно, безопасной передачи переменных, извиняюсь, если моя терминология здесь неверна.

Совет будет очень признателен.

// РЕДАКТИРОВАТЬ:

Все пароли хэшируются с помощью SHA1 и хешированной соли [sha1 (sha1 (пароль) .sha1 (соль))] перед вставкой в ​​базу данных, и это произойдет в сценарии входа в систему по протоколу HTTPS перед аутентификацией по паролю базы данных.

Ответы [ 3 ]

5 голосов
/ 09 марта 2011

просто измените аргумент action из вашей формы на URL-адрес HTTPS, к которому вы хотите получить доступ: 

<form action="https://www.example.com/login.php">

Данные будут отправлены на этот URL-адрес по протоколу HTTPS.Предполагается, что вы используете «обычную» кнопку отправки, а не какой-то особый способ отправки формы.

edit: как предлагается в другом ответе, после регистрации ВСЕ трафик должен быть выполнен в HTTPS, чтобы избежать кражи кукиили другие проблемы.Только домашняя страница , когда она не зарегистрирована , может быть безопасно доступна через HTTP, после того, как пользователь ввел любую регистрационную информацию, последующий трафик должен быть зашифрован .

3 голосов
/ 09 марта 2011

Мое предложение заключается в том, что если вы хотите зашифровать имя пользователя / пароль, вам следует также зашифровать трафик. Например, как вы собираетесь поддерживать состояние с помощью логина пользователя? Сессии? Это зависит от cookie, который, если кто-то перехватит session_id, может выдать себя за того, кто вошел в систему. Таким образом, в принципе, если кто-то заботится о том, чтобы перехватить ваши имена пользователей и пароли, он будет достаточно заботиться о том, чтобы прослушать файлы cookie с простым текстом и достичь того же результата.

2 голосов
/ 09 марта 2011

Да - действие формы должно указывать на https://blah.blah...

Затем протокол предписывает, чтобы браузер установил соединение, поменял ключи шифрования, зашифровал данные и, наконец, отправил.

Тот факт, что вы публикуете общедоступную страницу на защищенной странице, не имеет значения.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...