21. září bude sraz! Od 18.00 v restauraci Tradice v Praze u Anděla
Autor Zpráva
ra100
Profil *
Dobrý deň všetkým.

Mám stránku bežiacu na http://... a v nej formulár.
Formulár slúži na zadanie emailovej adresy - obdržanie noviniek cez email.

Formulár volá nezabezpečený skript - <form action="http://skript.php..." takže emailová adresa, no môže sa to týkať aj hesla,
je odosielaná ako plain-text.

Rozhodol som sa prerobiť http://skript.php na zabezpečené https://skript.php.

Nemám ale jasno v nasledujúcom.
Čo sa deje po zadaní emailu alebo hesla do poľa v nezabezpečenej stránke a ich odoslaní,
zavolaním zabezpečeného skriptu - <form action="https://skript.php... ?

Odchádza najskôr požiadavka na zabezpečenie spojenia a keď je spojenie https://... nadviazané,
odošle sa bezpečne obsah formulára
alebo
požiadavka je odosielaná rovno aj z nezabezpečením obsahom formulára a až potom je prenos zabezpečený ?

Ďakujem za rady.
Keeehi
Profil
Odesílá se to zabezpečeně. Osobně bych celé stránky nechal běžet na https. Nebo máš snad nějaký důvod proč ne?
ra100
Profil *
Keeehi:
V klude to môžem nadstaviť celé na https://...
Zaujímal ma vyššie vzpomenutý spôsob - http://... > https://...
v prípade, že nie je iná možnosť.

Ďakujem.
Fisir
Profil
Reaguji na ra100:
Je nesmysl mít formulář na obyčejném HTTP a skript, který jej zpracovává na HTTPS. Případný útočník může ten formulář pozměnit (např. přepsat action) a uživatel se nic nedozví (zatímco na HTTPS není možné se stránkou po cestě nepozorovaně manipulovat).

Pro zajímavost, touto bezpečnostní chybou trpěl i Seznam (avšak nevím, zda již byla opravena).
ra100
Profil *
Fisir:
-"...Případný útočník může ten formulář pozměnit..."

Dobrá poznámka a beriem na vedomie.

Ďakujem.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0