У меня есть страница HTTP с формой. Если я установил действие на страницу HTTPS, безопасен ли запрос? Выполняет ли браузер все данные перед отправкой в сеть? Или я должен использовать HTTPS для всего моего сайта?
Безопасен ли POST от HTTP до HTTPS?
Ответ 1
Нет. Troy Hunt идентифицирует простую атака "человек-в-середине" , которая показывает, что публикация из HTTP к HTTPS отнюдь не безопасно. С распространением бесплатного WiFi эта атака будет очень проста в выполнении.
http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html
Ответ 2
Да, это будет безопасно, если местоположение вашей формы отправляется в HTTPS.
Пользователи, однако, могут волноваться, что в своем браузере на странице с формой нет иконки блокировки. Вы можете быть лучше с точки зрения юзабилити, имея обе страницы HTTPS.
Ответ 3
Да. До тех пор, пока запрос, который должен быть защищен, - https, вы хороши.
Таким образом, многие ключевые сайты, в том числе gmail, перестали беспокоиться о том, чтобы вырезать небольшие участки своего сайта, чтобы быть https, и просто сделали весь сайт https. Это проще и безопаснее, и вы немного теряете способ выполнения.
Ответ 4
Фактическая передача данных из вашей формы на сервер зашифровывается при публикации по HTTPS. Если это то, что вы подразумеваете под защитой, то да, это безопасно.
Я думаю, что вы получаете в своем вопросе, а что касается материала на стороне клиента, читающего форму до публикации. Это, безусловно, возможно, HTTPS или нет.
В другой заметке, однако, вы, вероятно, должны использовать HTTPS для фактической формы. Некоторые браузеры предупреждают пользователей, поскольку их сообщения перенаправляются по границе HTTP/HTTPS. Кроме того, я не думаю, что ваши пользователи будут счастливы заполнять форму, где нет безопасной иконки.
Ответ 5
Если вы установите действие на HTTPS, это будет действительно безопасно. Прежде чем что-либо произойдет через HTTPS, должно произойти рукопожатие, и браузер, отправляющий данные, должен будет сделать это, когда произойдет действие.
Ответ 6
Не делайте этого!
Рассмотрим атаку MITM, в которой злоумышленник, сидящий на проводе где-то между сервером и клиентом, изменяет форму входа до того, как он достигнет клиента. Форма входа теперь включает в себя кейлоггер или указывает на действие POST на фишинговую страницу вместо аутентичного сервера. Для конечного пользователя нет предупреждений или символов пользовательского интерфейса, поэтому они идут вперед и отправляют форму.
Рассмотрим атаку MITM, в которой злоумышленник использует "бесплатный Wi-Fi" в кафе (через горячую точку смартфона или что-то еще). Когда ничего не подозревающие люди используют этот "бесплатный Wi-Fi" для входа в систему с формой HTTP, даже несмотря на то, что он выполняет POST на HTTPS, злоумышленник может видеть учетные данные открытого текста пользователя, анализируя их сетевой трафик сети hotspot.
Литература: