Question

Возможно ли, при совместимости с PCI, иметь безопасную (https) входную запись в виде лайтбокса на незащищенной странице (http)? Если да, будут ли отображаться правильные значки безопасности / блокировки на странице?

rook · Answer 1 · 02 марта 2011

Это уязвимо по нескольким причинам. Злоумышленник может просто использовать SSLStrip , чтобы удалить логин https и MITM пароль.

Кроме того, почему вы просто используете HTTPS для входа в систему? Его следует использовать в течение всей жизни сеанса или его полностью и совершенно бесполезно. Вы нарушаете OWASP A9, и это может быть использовано с Firesheep .

Https (безопасный) вход в лайтбокс на странице http

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Https (безопасный) вход в лайтбокс на странице http

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы