| Autor | Zpráva | ||
|---|---|---|---|
| ra100 Profil * |
#1 · Zasláno: 20. 3. 2015, 12:05:29
Dobrý deň všetkým.
Mám stránku bežiacu na http://... a v nej formulár. Formulár slúži na zadanie emailovej adresy - obdržanie noviniek cez email. Formulár volá nezabezpečený skript - <form action="http://skript.php..." takže emailová adresa, no môže sa to týkať aj hesla,
je odosielaná ako plain-text. Rozhodol som sa prerobiť http://skript.php na zabezpečené https://skript.php. Nemám ale jasno v nasledujúcom. Čo sa deje po zadaní emailu alebo hesla do poľa v nezabezpečenej stránke a ich odoslaní, zavolaním zabezpečeného skriptu - <form action="https://skript.php... ?
Odchádza najskôr požiadavka na zabezpečenie spojenia a keď je spojenie https://... nadviazané, odošle sa bezpečne obsah formulára alebo požiadavka je odosielaná rovno aj z nezabezpečením obsahom formulára a až potom je prenos zabezpečený ? Ďakujem za rady. |
||
| Keeehi Profil |
#2 · Zasláno: 20. 3. 2015, 12:31:38
Odesílá se to zabezpečeně. Osobně bych celé stránky nechal běžet na https. Nebo máš snad nějaký důvod proč ne?
|
||
| ra100 Profil * |
#3 · Zasláno: 20. 3. 2015, 13:53:01
Keeehi:
V klude to môžem nadstaviť celé na https://... Zaujímal ma vyššie vzpomenutý spôsob - http://... > https://... v prípade, že nie je iná možnosť. Ďakujem. |
||
| Fisir Profil |
#4 · Zasláno: 20. 3. 2015, 14:10:38
Reaguji na ra100:
Je nesmysl mít formulář na obyčejném HTTP a skript, který jej zpracovává na HTTPS. Případný útočník může ten formulář pozměnit (např. přepsat action) a uživatel se nic nedozví (zatímco na HTTPS není možné se stránkou po cestě nepozorovaně manipulovat).
Pro zajímavost, touto bezpečnostní chybou trpěl i Seznam (avšak nevím, zda již byla opravena). |
||
| ra100 Profil * |
#5 · Zasláno: 20. 3. 2015, 14:54:20
Fisir:
-"...Případný útočník může ten formulář pozměnit..." Dobrá poznámka a beriem na vedomie. Ďakujem. |
||
|
Časová prodleva: 9 let
|
|||
0