2. 질의 응답
  3. https에서 http로 보안 리디렉션

https에서 http로 보안 리디렉션

2013-11-04 8 views
0

초기 로그인 페이지 (https)가 http 사이트로 리디렉션되어야하는 사이트가 있습니다.
세션 쿠키가 https 요청과 http 요청 사이에 이어지지 않는다는 것을 알고 있습니다.
안전한 방법은 무엇입니까?
지금은 중간 솔루션으로 https에서 http로 처음 이동할 때 고유 한 키를 생성합니다. 이 확인 후 사용자 세션을 다시 만듭니다.https에서 http로 보안 리디렉션

출처

2013-11-04 Itay Moav -Malimovka

+0

대다수 그들이 당신이하는 것처럼. http://stackoverflow.com/a/7244166/156775 – Nishant

+0

보안 플래그가 설정되지 않은 경우 쿠키가 넘겨집니다 (https://www.owasp.org/index.php/SecureFlag). 그러나 이것은 잘못된 방향으로 나아가는 단계입니다. @ Aurand의 대답 (+1)을 참조하십시오. – SilverlightFox

답변

1

안전한 방법은 무엇입니까?

하나도 존재하지 않습니다. 기껏해야 세션 토큰을 명확하게 보내고 세션 하이재킹이 가능합니다. 최악의 경우, 사용자는 MitM 공격에 노출됩니다 (HTTP 전용 페이지에서 액세스하는 한 사용자와 사용자가 모두 안전하다고 생각하는 페이지에서도 마찬가지입니다).

HTTPS를 통해 전체 사이트를 제공하십시오. 오버 헤드가 그렇게 높지는 않으며 많은 잠재적 인 보안 함정을 제거합니다.

출처

2013-11-04 21:52:00 Aurand

관련 문제

 관련 문제