사용자가 로그인 할 때 사용자 이름/암호를 사용하는 사이트는 분명히 https를 통한 로그인 프로세스가 필요합니다. OpenID 만 사용하거나 보안을 유지하기에 https를 사용하는 공급자가 동일한 경우에도 적용됩니까?로그인을 위해 OpenID를 사용하는 페이지가 https를 통해 제공되어야합니까?
1
A
답변
1
안전하려면 항상 모든 항목이 HTTPS 여야합니다. 그렇지 않으면 공격자가 사용자가 제공 한 OpenID 문자열을 가로 채어 자신의 악성 OpenID 서버로 바꿀 수 있습니다. 그건 나쁘고, 가장 잘 아는 사용자를 제외한 모든 사용자를 속여서 잘못된 서버에 암호를 입력하는 것입니다.
그들은 실제 OpenID 서버에 대한 클라이언트 소개를 대체 할 수 있으며, 귀하의 사이트로 돌아 가기 전에 클라이언트가 (효과적으로) 로그인하지 못하게 할 수 있습니다 ... 만약 그렇게하면 도용 당하지 않습니다. 사용자의 암호는 있지만 여전히 계정에 백도어가 있습니다.
아마도 HTTPS를 사용하지 않는다면 보내는 세션 쿠키가 안전하지 않을 수도 있습니다. 그래서 공격자는 사용자가 로그인 할 때까지 기다렸다가 세션을 훔칠 수 있습니다.
관련 문제
- 1. 계정 로그인을 위해 asp.net 웹 사이트에 HTTPS를 어떻게 추가합니까?
- 2. Zend Framework에서 openid를 사용하여 로그인을 테스트하려면 어떻게해야합니까?
- 3. 로그인을 위해 SOAP를 사용하는 것에 대한 도움
- 4. google openid를 사용하는 방법?
- 5. ASP.net에서 OpenID를 사용하는 방법
- 6. Asp.Net에서 https를 통해 UserControl을로드하십시오.
- 7. https를 통해 사이트에 연결
- 8. NSURLCredential은 https를 통해 안전합니까?
- 9. https를 사용하는 페이지에서 https를 사용하지 않는 동작에 연결
- 10. https를 통해 couchdb 이불에 액세스
- 11. clientaccesspolicy.xml이 HTTPS를 통해 요청되지 않음
- 12. HTTPS를 통해 암호를 보내기 전에 암호를 해싱해야합니까?
- 13. NSURLConnection에서 HTTPS를 사용하는 방법은 무엇입니까?
- 14. Silverlight에서 https를 통해 비누에 액세스
- 15. http 페이지에서 https를 사용하는 Ajax
- 16. OpenID를 사용하는 Google의 이름은 무엇입니까?
- 17. yii에서 openid를 사용하는 방법은 무엇입니까?
- 18. OpenId는 Ajax 로그인을 지원합니까?
- 19. Gzip 압축 HTTPS를 통해 작동하지
- 20. HTTPS를 통해 전송되지 않는 콘텐츠보기
- 21. C#을 통해 OpenID를 구현하는 방법
- 22. 공급자의 사이트에 사용자 서명하지 않고 OpenId를 통해 인증
- 23. OpenID를 사용하는 앱 엔진의 remote_api 보안
- 24. RESTful API에서 OpenID를 사용하는 방법은 무엇입니까?
- 25. OpenID를 사용하는 ASP.NET MVC 다중 사이트 SSO
- 26. Silverlight - https를 사용하는 이미지 바인딩
- 27. src에서 HTTPS를 사용하는 SWF가 안전합니까?
- 28. Symfony에서 로그인을 구현하기 위해 어떤 검사기가 사용되어야합니까?
- 29. HTTPS를 통해 웹 서비스에 액세스하면 ArgumentException이 발생합니다.
- 30. Ruby on Rails에서 https를 사용하는 방법