我想通过将用户重定向到https://secure.domain.com/login
来保护登录,然后在成功登录后将其重定向到一个纯http网站,从而将会话与它们相关联。这是安全的吗?我应该只购买一个多域名计划,以保护子域名和父域名?我很困惑。从https转移登录到http
TL; DR - 正在将登录会话从HTTPS传输到HTTP安全吗?
我想通过将用户重定向到https://secure.domain.com/login
来保护登录,然后在成功登录后将其重定向到一个纯http网站,从而将会话与它们相关联。这是安全的吗?我应该只购买一个多域名计划,以保护子域名和父域名?我很困惑。从https转移登录到http
TL; DR - 正在将登录会话从HTTPS传输到HTTP安全吗?
正在将登录会话从HTTPS传输到HTTP安全吗?
号你有两个数据流。一个是用于认证的服务器的{用户名,密码}。第二个是返回给客户端的令牌或cookie(以及客户端在随后的请求中将其发送到服务器)。
第一个数据流受HTTPS保护,并且它的确定(某些手放弃)。
后续数据流使用HTTP,因此任何处于位置的人都可以阅读并随后使用该令牌或cookie。
由于降级攻击(或使情况变得更糟),它也不好混合和匹配HTTP/HTTPS。参见例如Why is TLS susceptible to protocol downgrade attacks?。
谢谢,所以我想我还要在父域上添加一些保护。 – davidxd33
可能重复的[PHP会话HTTP到HTTPS问题](http://stackoverflow.com/questions/5921545/php-session-http-to-https-problem) – aldanux
这是不安全的安全。这对于非安全来说是安全的。 – davidxd33
从那里阅读答案 - 如果你想在https登录,你回到http,所以对我来说,这是相同的 – aldanux