내 UI 프로토 타입을 사용하려면 사이트 로그인 정보를 항상 표시해야합니다. 일반 사용자 이름과 암호 텍스트 상자를 보여 주거나 "로 로그인했습니다". 마지막 비트는 사용자에게 정보 일 뿐이므로 서버 측을 사용할 필요가 없어 안전하지 않아도됩니다. 하지만 첫 번째 부분은 서버에 안전하게 보내야합니다.iFrame의 SSL 로그인
사이트의 모든 페이지에 https를 사용해야하는 것 같습니다. 나는 보안이 필요한 것들을 위해서만 SSL을 사용하고 싶다.
한 가지 방법은 로그인 정보를 https://../login.aspx에 넣고 내 메인 페이지에 IFrame으로 표시하는 것입니다.
내가 볼 수있는 단점은 소스 코드에서 IFrame src를 읽지 않는 한 사용자가 https를 사용하고 있다는 것을 알 수 없다는 점입니다.
당신은 어떻게 생각하십니까?
기본 제공 asp.net 로그인 컨트롤을 사용하고 있습니까? 아니면 두 개의 텍스트 상자 컨트롤 만 사용하고 있습니까?
action 속성이 "https : // ..."로 설정된 고유 한 양식 태그 (runat = "server"가 아님)를 사용할 수 있으며 두 개의 html 입력 태그와 버튼을 사용하여 로그온하십시오.
이 경우에도 사용자가 로그인 할 때 자격 증명이 안전함을 알 수 없습니다.
최근에 발견 된 SSL 공격 때문에 https : // 페이지에 로그온 양식을 추가하는 것이 항상 좋습니다. 그렇지 않으면 해킹 된 사람이 http 스트림을 가로 채고 양식 동작을 "https : // ..."에서 "http : // ..."로 변경 한 다음 자격 증명을 스니핑 할 수 있습니다.
또 다른 옵션은 Button 컨트롤의 PostBackUrl property을 이용하는 것입니다.
그래도이 기능을 사용하려면 자신 만의 로그인 LayoutTemplate을 만들어야합니다. 그런 다음 현재 페이지 URL에 보안 체계를 추가하고 제출 단추의 PostBackUrl 속성을 해당 URL로 설정할 수 있습니다.
이렇게하면 iFrame 솔루션과 비슷한 문제가 발생하지만 (사용자에게는 자물쇠 기호가 표시되지 않음), iFrame을 사용하지 않는 이점이 있습니다.
은 iframe을 사용하여 또 다른 문제는 그들이 페이지에 미칠 수있는 영향을 미치는 것입니다 :
뿐만 아니라 형태를 표시하는 당신에게 많은 공간을 떠나지 않을의 iframe에 반환됩니다. SSL을 사용하려면 모든 페이지에 있어야하는 로그인을 원하지만 전체 페이지가 SSL이되기를 원하지는 않습니다.
이것은 현재 시점에서 사업 결정에 관한 것입니다. 오히려 고객이 귀하의 사이트를 방문하는 것에 대해 더 안전하게 느끼시겠습니까? 아니면 모든 화면에 로그인 정보를 나타내시겠습니까?
둘 다 가지고 있어야하는 경우 전체 사이트를 SSL로 만들어야 할 수도 있습니다.
모든 것을 안전하게하는 것에 대한 반대 의견은 무엇입니까? 어쨌든 SSL 협상을해야 할 것입니다. –
예를 들어 ssl을 사용하지 않는 나머지 사이트에서는 캐싱이 활성화됩니다. – Karsten