1
我想通过将用户重定向到https://secure.domain.com/login来保护登录,然后在成功登录后将其重定向到一个纯http网站,从而将会话与它们相关联。这是安全的吗?我应该只购买一个多域名计划,以保护子域名和父域名?我很困惑。从https转移登录到http
TL; DR - 正在将登录会话从HTTPS传输到HTTP安全吗?
A
回答
1
正在将登录会话从HTTPS传输到HTTP安全吗?
号你有两个数据流。一个是用于认证的服务器的{用户名,密码}。第二个是返回给客户端的令牌或cookie(以及客户端在随后的请求中将其发送到服务器)。
第一个数据流受HTTPS保护,并且它的确定(某些手放弃)。
后续数据流使用HTTP,因此任何处于位置的人都可以阅读并随后使用该令牌或cookie。
由于降级攻击(或使情况变得更糟),它也不好混合和匹配HTTP/HTTPS。参见例如Why is TLS susceptible to protocol downgrade attacks?。
+0
谢谢,所以我想我还要在父域上添加一些保护。 – davidxd33
相关问题
- 1. 从HTTP登录到HTTPS
- 2. 从HTTP登录到HTTPS?
- 3. HTTPS登录到HTTP站点
- 4. 从HTTPS移到HTTP
- 5. 网页安全 - 从HTTP转移到HTTPS?
- 6. 从http转移到https asp.net c#
- 7. 从HTTP迁移到HTTPS
- 8. 从HTTP通过AJAX调用HTTPS登录
- 9. 从https转换回http http
- 10. 机械化从http提交登录表单到https
- 11. 从http到https
- 12. 将web服务从http移动到https
- 13. 将Web服务从Http移动到Https
- 14. 将localStorage数据从HTTP迁移到HTTPS
- 15. WCF服务 - 从https迁移到http
- 16. 如何从HTTPS迁移到HTTP?
- 17. 将ASP.NET网站从http移动到https?
- 18. 迁移站点从HTTP到HTTPS和SSL
- 19. http to https重定向登录页面
- 20. 使用https登录表单和http
- 21. .htaccess:一个目录转到https,其他所有转到http
- 22. 重定向HTTP到HTTPS,不重定向到登录页面
- 23. Jsoup登录到“https://www.mygolf.de/”
- 24. 转接HTTP非www到http WWW,与HTTPS非www到https WWW
- 25. 从HTTP转换为HTTPS ...错误和登录表单无法正常工作 - PHP?
- 26. http to https | https到http
- 27. Curl https登录
- 28. 从https:// ...移动到http://而不会断开链接(SSL迁移)
- 29. 将https:// domain/landingpage重定向到http://域/登录页
- 30. 登录后春安全切换到http。我如何保持https?
可能重复的[PHP会话HTTP到HTTPS问题](http://stackoverflow.com/questions/5921545/php-session-http-to-https-problem) – aldanux
这是不安全的安全。这对于非安全来说是安全的。 – davidxd33
从那里阅读答案 - 如果你想在https登录,你回到http,所以对我来说,这是相同的 – aldanux