사용자를 https://secure.domain.com/login으로 리디렉션하여 로그인을 확인한 다음 성공적인 로그인이되면 일반 http 웹 사이트로 리다이렉트하여 세션을 가져옵니다. 이거 안전한가요? 서브 도메인과 부모 도메인을 보호 할 수 있도록 멀티 도메인 계획을 구입해야합니까? 나는 당혹 스럽다.https에서 http로 로그인 전송
TL - DR - HTTPS에서 HTTP로 로그인 세션을 전송하고 있습니까?
HTTPS에서 HTTP로 로그인 세션을 전송하는 것이 안전합니까?
번호
두 데이터 흐름이있다. 하나는 인증에 사용 된 서버의 {username, password}입니다. 두 번째는 클라이언트 (및 후속 요청에서 서버로 보내는 클라이언트)에게 리턴 된 토큰 또는 쿠키입니다.
첫 번째 데이터 흐름은 HTTPS 및 OK (일부 손을 떠맡음)로 보호됩니다.
이후의 데이터 흐름은 HTTP를 사용하므로 위치에있는 모든 사람이 토큰이나 쿠키를 읽고 나중에 사용할 수 있습니다.
다운 그레이드 공격으로 인해 HTTP/HTTPS를 혼합하고 일치시키는 것도 좋지 않습니다. 예를 들어 Why is TLS susceptible to protocol downgrade attacks?을 참조하십시오.
고마워요. 그래서 부모 도메인에도 보호 기능을 추가 할 것입니다. – davidxd33
[PHP 세션 HTTP를 HTTPS로] 가능한 복제본 (http://stackoverflow.com/questions/5921545/php-session-http-to-https-problem) – aldanux
보안 성이 보장되지 않습니다. 이는 안전하지 않은 것으로 안전합니다. – davidxd33
거기에서 답을 읽어보십시오 - 그리고 https로 로그인하고 http로 돌아가려면 나에게 똑같습니다. – aldanux