HTTPSかけてHTMLフォーム値を投稿
質問
私は現在、セキュアなログインと取引のためにHTTPSを使用しているウェブサイトを持っています。あなたはログインしない限り、あなたはメインのサイトにに移動することはできません。
私は、彼らがシームレスにログインせずに、自分のWebアプリケーションから、当社のサイトに移動することができるかどうか尋ねてきた相手からの要求があった。そこサイトでは、HTTPSを使用しています。
私は「PartnerLoginPage.aspx」ページを設定し、彼らは(彼らは正しいユーザーログイン情報を持っている)このページにHTMLフォームの値をPOSTすることができました。私は、投稿の値に基づいてそれらを認証し、メインのサイトにリダイレクト。彼らは、その後、ログインする必要はありません。私はすでにそれらを認証したのだが、完璧に動作します。
私の最大の懸念は、これは、ユーザを認証する安全な方法ではないということです。あなたはHTTPSページにHTMLフォームの値をPOSTした場合、データは暗号化されましたか?自分のサイトが(それは)HTTPサイトではなかった場合は、単に関心の外に、データは暗号化されるだろう?
例えばTHEIR HTTPS-> FORMのPOST値を - > OUR HTTPS - ?> FORM POSTがDATA ENCRYTPEDを値です。
と
THEIR HTTP(注: 'S') - > FORMのPOST値 - > OUR HTTPS - > FORM POSTはENCRTYPEDを値です。
?任意の助けてくれてありがとう、
スチュアート
解決
すべてのキーはもちろん、有効であると仮定すると...
要求がHTTPSページ、その要求が暗号化されて行われた場合(要求を介して送信されたPOST値を意味し、関係なく、宛先の暗号化されている)要求はHTTPSページに非HTTPSページから作られている場合は、ポスト変数が暗号化されません(ただし、返される値は次のようになります)ので、
、要求は、暗号化されていないが、応答は以下のようになります。
> HTTPS =非暗号化された要求、暗号化された応答、HTTPS - -HTTPSは、基本的に話されているサーバ/ページは暗号化を使用するかではないので、HTTPされているかどうかを設定します。> HTTP =暗号化された要求、非暗号化応答
もちろん、そこにスクリプト・レベルで設定できるセキュリティのレベルがありますが、私はあなたの答えはその心配はないと思います。
クイックポストスクリプト
「:パートナー、PW:sheswithmeユーザー名」またはそのようないくつかのなぜあなたは、パートナーのサイトに同様のサービスアカウントを与えていませんか?あなたはクッキーを設定し、サーバー変数を渡すと、彼らは代わりに自分のスクリプトに半直接アクセスを持つ彼らのユーザーを持つことの要求を行うスクリプトに自分のフォームを指す持っているのcURLを使用することができます。