0
비보안 페이지 (http)에서 보안 (https)이 가능한 라이트 박스 팝업 로그인을 PCI 호환 가능하게 할 수 있습니까? 그렇다면 페이지에 적절한 보안 아이콘/잠금이 표시됩니까?http 페이지의 Https (보안) 라이트 박스 로그인
비보안 페이지 (http)에서 보안 (https)이 가능한 라이트 박스 팝업 로그인을 PCI 호환 가능하게 할 수 있습니까? 그렇다면 페이지에 적절한 보안 아이콘/잠금이 표시됩니까?http 페이지의 Https (보안) 라이트 박스 로그인
"완전하고 완전히 쓸모없는"것은 과장입니다. 로그인을 위해 사용자를 HTTPS로 유도하면 로그인 자격 증명이 도용되지 않도록하고 비밀번호 재사용 율을 고려할 때 매우 유용합니다. 사용자 세션은 도용 될 수 있지만 사용자의 다른 계정은 도용 될 수 없습니다. 또한 적절한 조치 (예 : 특정 작업 전에 HTTPS를 통해 암호를 다시 입력해야하는 경우)가 발생하면 세션 자체가 도용 될 수 있지만 공격자는 자신이 수행 할 수있는 작업이 제한됩니다. –
@Ben 관리자 계정 인 경우 어떻게해야합니까? 나는 여전히 OWASP, HTTPS는 모두 또는 아무것도 아니다. – rook
관리자 계정 인 경우 HTTPS를 사용하지 않는 것은 분명히 끔찍한 생각입니다. 그리고 편지에 OWASP를 따르는 것이 이상적이라는 데 전적으로 동의합니다. 그러나 누군가가 예산 리소스를 사용하여 HTTPS를 처리하지 못하는 가상의 경우 (HTTP를 통해 HTTPS 트래픽에 대해 2 배 이상을 청구 할 수있는 Akamai의 배후에 있다고 말하면서), 최소한 포인팅을하지 않는 것이 좋습니다 로그인 기능을 HTTPS로 변경하고 중요한 계정 변경 사항에 대해 HTTPS를 통한 비밀번호 확인이 필요합니다. 이상적인 구현은 아니지만 일반 텍스트로 암호를 전송하지는 않습니다. –