Es gibt zahlreiche Stackoverflow-Antworten, die besagen, dass Sie Ihr Login-Formular niemals auf eine HTTP-Seite stellen sollten, sondern immer HTTPS verwenden. Aber ich sehe viele große Websites, wie zum Beispiel The New York Times. Ist es in Ordnung, dies zu tun, wenn ich absolut keine wertvollen Informationen auf meiner Website habe? Es gibt keine Transaktionen und keine privaten Informationen. Es entspricht einem Blog oder einer Nachrichten-Website. Ich würde wirklich gerne Benutzer mit einer Box auf der Titelseite wie The New York Times anmelden.Login-Formular ohne ssl
Antwort
Nein, es ist nicht ok.
Wenn die Benutzer das gleiche Passwort erneut verwenden, dann kann es Kompromisse wichtige Konten
Da es unsicher ist, Firefox warnt in dem Konsolenprotokoll, dass es nicht sicher ist.
Wenn Sie auf Ihrer Startseite einen Login wünschen, warum nicht einfach überall https verwenden? Es ist einfacher zu konfigurieren und schneller (mit spdy/http2) als http, und Sie sind sicher, dass niemand Werbung in Ihre Website einfügen (einige ISP tun, als auf http ...)
Und ein Login/Passwort ist ein Persönliche Angaben. In den meisten Ländern, wie in Europa, haben Sie eine Schutzpflicht.
Über die New York Times, ja, sie verwenden http, aber es ist schwieriger für eine große Website zu migrieren. Aber ja, sie sollten https verwenden.
Beachten Sie, dass https allein nicht ausreicht: Ihre Website ist möglicherweise immer noch anfällig für SSlstrip-Angriffe. Wenn Sie nach Passwörtern oder persönlichen Informationen fragen, sollten Sie HSTS als einzigen Schutz gegen diesen Angriff verwenden. (Es wird die https-Verbindung erzwingen, aber dafür müssen Sie https für die gesamte Domäne aktivieren)
das ist wirklich seltsam, da es viele viele große Websites gibt, die dies tun und Ich bin sicher, sie haben Sicherheitsleute im Team – user4421975
@ user4421975 Sie kümmern sich nicht um die Sicherheit, sie kümmern sich um ihre Anzeigen angezeigt werden. (und nicht alle Ads-Anbieter arbeiten mit https ...) – Tom
Bit hart. Keine Entschuldigung, aber es kann schwierig sein, eine bestehende Site und/oder Organisation von http zu https zu ändern. Zum Beispiel: https://www.wired.com/2016/05/wired-first-big-https-rollout-snag/ oder https://blog.yell.com/2016/03/https-is-hard/ Es ist viel einfacher, von Anfang an anzufangen, aber nur die Verwendung von https auf einigen Ihrer Seiten war früher üblich, wenn es teuer und schwieriger war. –
- 1. Pip ohne SSL-Zertifikatsüberprüfung?
- 2. Ohne SSL-Zertifikate gehen?
- 3. Bower Installation ohne ssl
- 4. Office-Add-In ohne SSL
- 5. Secure Login Credential ohne SSL
- 6. elasticbeanstalk ssl ohne benutzerdefinierte Domäne
- 7. Detect HTTPS ohne SSL Termination
- 8. JMX mit SSL ohne Systemeigenschaften
- 9. cloudflare Dateien vom Ursprungsserver ohne SSL
- 10. prüfen SSL-certifacte Verfallsdatum ohne Genehmigung
- 11. LdapConnection Port 636 verbindet, ohne SSL
- 12. Verwenden Sie wshttpBinding mit SSL und wsHttpBinding ohne SSL in einzelnen Dienst
- 13. Apache virtualhost SSL + nicht-SSL
- 14. SSL-Zwischenzertifikate
- 15. Warnung: Establishing SSL-Verbindung ohne Serveridentitätsprüfung ist nicht
- 16. Herunterfahren von SSL, ohne den zugrunde liegenden Socket zu schließen?
- 17. Wie kann ich SSL-Backend ohne Angabe von Zertifikatsdateien verwenden?
- 18. Wie http2 ohne ssl in Apache 2.4.18 Server implementieren
- 19. Subdomain neu schreiben, ohne einzelne Seite zu unterbrechen ssl
- 20. Welche Website unterstützt http/2 auf Port 80 ohne SSL?
- 21. Etablierte JavaScript-Lösung für sichere Registrierung und Authentifizierung ohne SSL
- 22. 403 verboten für AWS Bohnenstange Flask statische Dateien ohne SSL
- 23. NGINX - Umleitung von https zu http ohne SSL-Zertifikat
- 24. Java IMAP Verbindung zu speichern mit und ohne ssl
- 25. Mocking keine ssl installiert
- 26. SSL-Zertifikat: Verbindung mit SSL-Server über einen Proxy
- 27. Ubuntu - Apache SSL erneuern
- 28. 2-Wege-SSL :: SSL Handshake Fehler Fehler
- 29. Wget über SSL gibt: Kann SSL-Verbindung
- 30. Android: SSL-Kontext SSL-Implementierung nicht
Die Anmeldung 'Form' Aktion der NYT an eine HTTPS-URL. – vcsjones
Diese Frage ist besser für security.stackexchange.com geeignet. –
Das ist immer noch nicht in Ordnung vcsjones: https://www.troyhunt.com/your-login-form-posts-thtps-but-you/ –