मेरे पास एक फॉर्म के साथ एक HTTP पृष्ठ है। अगर मैं एक HTTPS पृष्ठ पर कार्रवाई सेट करता हूं, तो अनुरोध सुरक्षित है? ब्राउज़र ब्राउज़र को नेट पर भेजने से पहले सभी डेटा को संसाधित करता है? या मुझे अपनी पूरी साइट के लिए HTTPS का उपयोग करना चाहिए?HTTP से HTTPS तक कोई पोस्ट सुरक्षित है?
सं। ट्रॉय हंट एक साधारण man-in-the-middle attack की पहचान करता है जो दर्शाता है कि HTTP से HTTPS तक पोस्ट करना सुरक्षित नहीं है। मुफ्त वाईफाई के प्रसार के साथ यह हमला निष्पादित करना बहुत आसान होगा।
http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html
पूर्ण HTTPS साइट्स में पोस्टिंग न तो, मुझे लगता है। –
क्षमा करें, @ Kstro21, सुनिश्चित नहीं है कि आपका क्या मतलब है। क्या आपका मतलब है कि यह शोषण अभी भी HTTPS से HTTPS तक हो सकता है? पहला पृष्ठ सर्वर और क्लाइंट के बीच एन्क्रिप्ट किया गया है, जिसमें हमलावर को स्क्रिप्ट इंजेक्ट करने का कोई मौका नहीं है। –
तो, एचटीटीपीएस से एचटीटीपीएस तक पोस्टिंग किसी भी तरह के मध्यवर्ती हमले से कभी प्रभावित नहीं होगी, इससे कोई फर्क नहीं पड़ता। यही तुम्हारा मतलब था? –
हां, यह सुरक्षित होगा यदि आपका फॉर्म पोस्ट करने वाला स्थान HTTPS है।
हालांकि, उपयोगकर्ता इस बात से अवगत हो सकते हैं कि फॉर्म के साथ पृष्ठ पर उनके ब्राउज़र में कोई लॉक आइकन नहीं है। आप एक प्रयोज्य दृष्टिकोण से बेहतर हो सकते हैं जिसमें दोनों पृष्ठ HTTPS हैं।
तो ... क्या यह जवाब गलत है? यहां स्वीकृत उत्तर, और स्वीकार किए गए + उच्चतम वोट वाले उत्तरों [यहां] (https://stackoverflow.com/a/274280/1175496) सभी सुझाव देते हैं कि यह फॉर्म एमआईटीएम हमले के अधीन हो सकता है? –
@TheRedPea मेरा उत्तर तकनीकी है - HTTPS पोस्ट का HTTP वास्तव में सुरक्षित है। स्वीकार्य उत्तर अधिक व्यावहारिक कारणों के लिए सही (और इस तरह स्वीकार किया जाता है), यह है कि एचटीटीपीएस से HTTP सुरक्षित होने के बावजूद, HTTP साइट पर फॉर्म को कहीं भी * असुरक्षित * पोस्ट करने के लिए एमआईटीएमड किया जा सकता है। – ceejayoz
यदि आप HTTPS पर कार्रवाई सेट करते हैं तो यह वास्तव में सुरक्षित होगा। एचटीटीपीएस पर कुछ भी हो सकता है इससे पहले कि एक हैंडशेक होनी चाहिए, और कार्रवाई होने पर डेटा भेजने वाले ब्राउज़र को ऐसा करना होगा।
हां। जब तक अनुरोध सुरक्षित होना आवश्यक है https है, तो आप अच्छे हैं।
कहा जा रहा है कि, जीमेल समेत कई प्रमुख साइटों ने अपनी साइट के छोटे वर्गों को https होने के लिए परेशान करना बंद कर दिया है और बस अपनी पूरी साइट https बना दिया है। यह आसान और सुरक्षित है, और आप प्रदर्शन के तरीके में थोड़ा खो देते हैं।
और लड़का, क्या यह कभी आसान है। ठीक से हो गया, सत्र आईडी और जब भी कोई उपयोगकर्ता एक HTTP/HTTPS कनेक्शन के बीच स्विच करता है तो इसे वास्तव में पुन: उत्पन्न किया जाना चाहिए। (यह सत्र-अपहरण के जोखिम को कम करने में मदद करने के लिए है। एक बार सत्र आईडी को क्लीयरक्स्ट में पास कर दिया गया है, इसे सुरक्षा परिप्रेक्ष्य से समझौता किया जाना चाहिए।) दो या तीन अनुप्रयोगों पर काम करने के बाद जो लगातार इन आईडी को पुन: उत्पन्न कर रहे थे, मैं आपको अनुभव से बता सकता है कि यह गधे में एक बड़ा दर्द है। बस मेरी राय में, केवल HTTPS में लॉक करना और इसे करने का एकमात्र तरीका है। –
HTTPS पर पोस्ट करते समय आपके फॉर्म से सर्वर पर वास्तविक डेटा स्थानांतरण एन्क्रिप्ट किया जाता है। यदि सुरक्षित है तो आपका मतलब है, तो हाँ, यह सुरक्षित है।
मुझे लगता है कि आप अपने प्रश्न में क्या प्राप्त कर रहे हैं, पोस्ट से पहले फॉर्म पढ़ने वाले क्लाइंट-साइड सामान के बारे में क्या है। यह निश्चित रूप से संभव है, HTTPS या नहीं।
हालांकि एक और नोट पर, आपको वास्तविक रूप के लिए HTTPS का उपयोग करना चाहिए। कुछ ब्राउज़र उपयोगकर्ताओं को चेतावनी देते हैं क्योंकि उनकी पोस्ट HTTP/HTTPS सीमा पर रीडायरेक्ट की जाती हैं। इसके अलावा, मुझे नहीं लगता कि आपके उपयोगकर्ता एक फॉर्म भरने में प्रसन्न होंगे जहां कोई सुरक्षित आइकन दिखाना नहीं है।
न यह करते हैं!
एक एमआईटीएम हमले पर विचार करें जहां सर्वर और क्लाइंट के बीच कहीं भी तार पर बैठा एक हमलावर क्लाइंट तक पहुंचने से पहले लॉगिन फॉर्म को संशोधित करता है। लॉगिन फॉर्म में अब एक कीलॉगर शामिल है या पोस्टिक एक्शन को प्रामाणिक सर्वर के बजाय फ़िशिंग पेज पर इंगित करता है। एंड-यूजर के लिए कोई चेतावनी या यूआई क्यू नहीं है, इसलिए वे आगे बढ़ते हैं और फॉर्म जमा करते हैं।
एक एमआईटीएम हमले पर विचार करें जिसमें एक कॉफी शॉप (एक स्मार्टफोन हॉटस्पॉट या जो भी हो) पर "फ्री वाईफाई" तैनात करने वाले हमलावर शामिल है। जब लोग असुरक्षित लोगों को HTTP फॉर्म के साथ लॉगिन करने के लिए इस "मुफ्त वाईफाई" का उपयोग करते हैं, भले ही यह HTTPS पर पोस्ट करता है, तो हमलावर उपयोगकर्ता के सादे टेक्स्ट नेटवर्क यातायात का विश्लेषण करके उपयोगकर्ता के सादे टेक्स्ट क्रेडेंशियल देख सकता है।
संदर्भ:
की (http [यह एक HTTP रूप से HTTPS करने के लिए प्रस्तुत करने के लिए सुरक्षित है?]बिल्कुल, ऐसा न करें, वे HTTP को स्नीफ कर सकते हैं। एचटीटीपीएस को मजबूर करने के लिए एचएसटीएस का प्रयोग करें – danday74
संभव डुप्लिकेट: //stackoverflow.com/questions/274274/is-it-secure-to-submit-from-a-http-form-to-https) – RobEarl
आपका स्वीकृत उत्तर आम तौर पर पुरानी सलाह के रूप में माना जाता है। कृपया मेरी प्रतिक्रिया देखें: http://stackoverflow.com/a/22625230/2179408 –