La connexion sur chaque page nécessite SSL sur toutes les pages
-
05-11-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Notre site Web a un formulaire de connexion qui apparaît dans l'en-tête sur chaque page du site Web. C'est ce que mon patron veut, mais nous devons être conformes à PCI et il dit que tout formulaire sensible (connexion / mot de passe) nécessite SSL. Cela signifie-t-il donc que l'ensemble du site Web doit être exécuté sous SSL alors qu'un utilisateur n'est pas connecté?
Une autre question liée à cela, nous avons un logiciel de sécurité tiers numérisant et tester notre site et il envoie HTTP Post au formulaire de connexion sur toutes les pages et rapports qu'il n'est pas garanti car il le soumet sous HTTP. Je me demande comment une entreprise comme Say Godaddy le fait parce qu'elle a une connexion / mot de passe sur leur page d'accueil, mais je peux y accéder via HTTP et soumettre mes informations de connexion très bien. Par cette logique, ils ne sont pas sécurisés car cela me permet de le faire correctement? J'ai l'impression de manquer quelque chose mais je ne sais pas quoi.
-Edit - quelques informations provenant du site de sécurité:
La descriptionUne vulnérabilité existe qui permet à un attaquant de récolter des informations sensibles (identiques de connexion, etc.) qui sont considérées comme SSLSécurisées.
Plus précisément, un formulaire a été trouvé sur une page HTTP (non cryptée) qui envoie des informations à une page HTTPS (cryptée). Un attaquant pourrait tirer parti de l'intoxication au cache (DNS / DHCP / ARP / etc.) ou une autre vulnérabilité (par exemple XSS), la page HTTP envoie des informations à un site Web contrôlé par l'attaquant au lieu du site HTTPS légitime.
En outre, des kits d'outils existent pour automatiser le processus de récolte de telles références, de connexion au site HTTPS légitime et d'établissement de l'attaquant comme un indicateur transparent entre la victime et l'hôte légitime où l'attaquant considère toutes les informations en texte clair (y compris les informations d'identification de connexion, etc.).
Victime <--------- HTTP ---------> Attaquant <--------- HTTPS ---------> Site légitime
CVSS score 2.1
La solution
Ne laissez pas les informations que vous souhaitez que SSL soit sécurisée pour provenir d'une page non garantie.
Pas de solution correcte
