Czy HTTPS jest działaniem formularza (HTML) na tyle, aby dane formularza były szyfrowane za pomocą protokołu SSL w celu przesłania?Czy protokół HTTPS jest wystarczającym działaniem formularza?
Czy strona zawierająca formularz musi również zawierać HTTPS?
Jeśli strona hostowana na formularzu nie jest obsługiwana przez HTTPS, może zostać przechwycona i zmodyfikowana w drodze. Modyfikacje te mogą obejmować zmiany w działaniu formularza lub dodanie kodu JavaScript w celu wysłania danych do strony trzeciej przed wysłaniem formularza w normalny sposób.
Przesłanie formularza przez HTTPS to , a nie wystarczająca do ochrony danych. Formularz musi być dostarczony w ten sposób.
HTTPS w akcji formularza wystarcza do zaszyfrowania przesłania formularza.
Strona, która obsługuje formularz, nie musi mieć HTTPS, chociaż pomaga zapewnić użytkownikom pewność, że ich dane są bezpieczne.
Inną korzyścią związaną z zabezpieczeniem strony hostingowej jest to, że formularz nie może zostać sfałszowany lub zmieniony przez osobę w środku.
Podczas gdy działa, istnieje kilka powodów, aby nie robić, prawidłowa odpowiedź jest, gdy jest to możliwe, nie rób tego, ponieważ użytkownik jest nieświadomy. – stephbu
@stephbu: Uzgodniono - i podałem dwie z tych przyczyn w mojej odpowiedzi. –
Hehe - mój pierwotny komentarz został obcięty - powiedziałbym, że głosowałbym na @stian, będąc nowszym, ale powody twojego klienta są o wiele dokładniejsze. – stephbu
Wystarczy, że wszystko, co chcesz zrobić, to machać magicznym zaklęciem z czarownic szyfrujących. To nie wystarczy, jeśli chcesz być naprawdę bezpieczny. Każdy atak typu "man-in-the-middle" może po prostu przepisać formularz HTML, aby opublikować go na złośliwym serwerze.
Pytam, ponieważ widzę, że wyskakujące okienko "Zaloguj się" na Twitterze uruchamia się ze strony HTTP, ale działa na stronie HTTPS. Zastanawiam się, LOL – Dougal