1. Zuhause
  2. Frage und Antwort
  3. Login-Formular ohne ssl

Login-Formular ohne ssl

2016-05-21 15 views
1

Es gibt zahlreiche Stackoverflow-Antworten, die besagen, dass Sie Ihr Login-Formular niemals auf eine HTTP-Seite stellen sollten, sondern immer HTTPS verwenden. Aber ich sehe viele große Websites, wie zum Beispiel The New York Times. Ist es in Ordnung, dies zu tun, wenn ich absolut keine wertvollen Informationen auf meiner Website habe? Es gibt keine Transaktionen und keine privaten Informationen. Es entspricht einem Blog oder einer Nachrichten-Website. Ich würde wirklich gerne Benutzer mit einer Box auf der Titelseite wie The New York Times anmelden.Login-Formular ohne ssl

Quelle

2016-05-21 user4421975

+0

Die Anmeldung 'Form' Aktion der NYT an eine HTTPS-URL. – vcsjones

+0

Diese Frage ist besser für security.stackexchange.com geeignet. –

+1

Das ist immer noch nicht in Ordnung vcsjones: https://www.troyhunt.com/your-login-form-posts-thtps-but-you/ –

Antwort

3

Nein, es ist nicht ok.

Wenn die Benutzer das gleiche Passwort erneut verwenden, dann kann es Kompromisse wichtige Konten

Da es unsicher ist, Firefox warnt in dem Konsolenprotokoll, dass es nicht sicher ist.

Wenn Sie auf Ihrer Startseite einen Login wünschen, warum nicht einfach überall https verwenden? Es ist einfacher zu konfigurieren und schneller (mit spdy/http2) als http, und Sie sind sicher, dass niemand Werbung in Ihre Website einfügen (einige ISP tun, als auf http ...)

Und ein Login/Passwort ist ein Persönliche Angaben. In den meisten Ländern, wie in Europa, haben Sie eine Schutzpflicht.

Über die New York Times, ja, sie verwenden http, aber es ist schwieriger für eine große Website zu migrieren. Aber ja, sie sollten https verwenden.

Beachten Sie, dass https allein nicht ausreicht: Ihre Website ist möglicherweise immer noch anfällig für SSlstrip-Angriffe. Wenn Sie nach Passwörtern oder persönlichen Informationen fragen, sollten Sie HSTS als einzigen Schutz gegen diesen Angriff verwenden. (Es wird die https-Verbindung erzwingen, aber dafür müssen Sie https für die gesamte Domäne aktivieren)

Quelle

2016-05-21 15:08:09 Tom

+0

das ist wirklich seltsam, da es viele viele große Websites gibt, die dies tun und Ich bin sicher, sie haben Sicherheitsleute im Team – user4421975

+0

@ user4421975 Sie kümmern sich nicht um die Sicherheit, sie kümmern sich um ihre Anzeigen angezeigt werden. (und nicht alle Ads-Anbieter arbeiten mit https ...) – Tom

+1

Bit hart. Keine Entschuldigung, aber es kann schwierig sein, eine bestehende Site und/oder Organisation von http zu https zu ändern. Zum Beispiel: https://www.wired.com/2016/05/wired-first-big-https-rollout-snag/ oder https://blog.yell.com/2016/03/https-is-hard/ Es ist viel einfacher, von Anfang an anzufangen, aber nur die Verwendung von https auf einigen Ihrer Seiten war früher üblich, wenn es teuer und schwieriger war. –

Verwandte Themen

 Verwandte Themen