Lançamento HTML do Formulário de Valores Através de HTTPS
https://stackoverflow.com/questions/1554237
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho um site que está usando o protocolo https seguro login e transações.Você não pode navegar para o para o site principal, a menos que você login.
Eu tive uma solicitação de um parceiro que têm perguntado se eles podem facilmente navegar para o nosso site a partir de seu próprio aplicativo web, sem necessidade de login.Lá no site também está usando https.
Eu configurei uma "PartnerLoginPage.aspx" a página, e permitiu-lhes POST de formulário html valores para esta página (eles têm de usuário correto detalhes de início de sessão).Eu, então, autenticar-los com base nos valores lançados e redirecioná-los para o site principal.Eles não precisam de login então, eu já autenticados e ele funciona perfeitamente.
Minha maior preocupação é que esta não é uma forma segura de autenticação do usuário.Se você publicar o formulário em html valores em uma página https os dados ainda estão criptografados?Só por interesse, se o seu site não foi de um site http (é) seriam os dados ainda ser criptografada?
por exemplo, SEUS HTTPS-> FORMULÁRIO de PÓS-VALORES -> NOSSO HTTPS -> SÃO POSTAGEM do FORMULÁRIO de VALORES de DADOS ENCRYTPED?
e
O SEU HTTP (nota:não 's') ->FORMULÁRIO de PÓS-VALORES -> NOSSO HTTPS -> SÃO POSTAGEM do FORMULÁRIO de VALORES ENCRTYPED?
Obrigado por qualquer ajuda,
Stuart
Solução
Supondo que todas as chaves são válidos, é claro...
Se a solicitação é feita uma página https, em seguida, a solicitação é criptografada (ou seja, o POST de valores, que são enviadas através de pedido, são criptografadas, independentemente do destino).
Se o pedido é feito a partir de um não página https para uma página https, o pedido não é criptografado, mas a resposta seria, então, o post de variáveis NÃO são criptografadas (mas o valor retornado pode ser).
HTTPS essencialmente define se o servidor/página que está falando é o uso de criptografia ou não, assim http -> https = não-criptografado pedido, resposta encriptada, https -> http = criptografados-pedido de não-resposta encriptada.
É claro que existem níveis de segurança que podem ser definidas no nível de script, mas eu não acho que a sua resposta está preocupado com isso.
Post Rápido Script
Por que você não dar a sites de parceiros de uma conta de serviço como "nome de usuário :parceiros, mulheres grávidas:sheswithme" ou algo assim?Você pode usar o cURL para configurar o cookie e passar as variáveis de servidor e peça-lhes que ponto o seu formulário para um script que faz o pedido, em vez de ter os seus usuários, tendo o semi-acesso directo para o seu script.
