http를 통해 전송된 비밀번호에 대한 공격 벡터는 무엇입니까?

다른 사람들이 여기서 언급하지 않은 점에 유의해야 할 점은 일부 브라우저가 양식 데이터를 캐시한다는 것입니다. SSL 사이트의 기본 동작은 일반적으로 "비밀번호 저장"을 선택하지 않는 한 아무것도 캐시하지 않는 것입니다. 일반적으로 비밀번호 필드는 어쨌든 캐시되지 않지만 몇 가지 이상한 점을 보았습니다(일반적으로 신용카드 정보는 실제로 질문의 주제가 아닌 것으로 알고 있습니다).

주목해야 할 또 다른 점은 SSL 암호화가 TCP 핸드셰이크에서 시작된다는 것입니다. SSL을 사용하면 SSL을 통한 HTTP와 SSL을 통한 FTP를 구별할 수 없습니다(포트 번호를 통한 가정은 제외).

또한 로그인 요청과 "방금 검색 중입니다" 요청을 구별할 수 없습니다. 이는 해커가 될 수 있는 페이지 흐름을 난독화하고 비밀번호 데이터뿐만 아니라 검색 기록/쿠키 데이터/및 모든 정보가 안전한지 확인합니다. 귀하의 계정과 함께 제공되는 개인 정보.

제거하면 올인올중간에있는 남성많은 잠재적인 공격을 줄인 스펙트럼의 공격, 그렇다고 귀하의 사이트가 '안전하다'고 말하는 것은 아닙니다. 구역화 정책도~해야 한다사용자가 사이트 밖으로 리디렉션되면 영역이 변경되므로 XSS 공격으로부터 보호하는 데 도움이 됩니다.

데이터는 첫 번째 단계나 마지막 단계뿐만 아니라 경로의 어느 곳에서나 취약합니다. 전송에 관련된 시스템이 사용자 이름, 비밀번호 및 기타 민감한 데이터를 검색한다는 것은 꽤 그럴듯한 일입니다. 따라서 민감한 데이터는 SSL의 목적과 정확히 일치하는 보안이 유지되는 링크를 통해서만 이동해야 합니다. 관련된 데이터에 따라 SSL을 규정하는 현지 법률이 있을 수 있습니다.

데이터를 저장할 수 있는 프록시 서버가 있습니다.

그러나 사용자의 비밀번호를 안전하게 유지해야 할 의무도 있습니다. 많은 사용자가 제한된 비밀번호 세트를 사용하므로 안전하지 않은 사이트는 예를 들어 홈뱅크 비밀번호를 손상시킬 수 있습니다.

나는 자신의 질문에 대답하는 KevinM의 생각에 동의할 수 있으며 John Gardeniers는 올바른 방향을 가리키고 있습니다. 나는 또한 Silky가 "이상적으로는 SSL 기반 로그인 화면이 없는 사이트에 일반 대중은 절대 로그인하지 않을 것"이라고 말한 것에 동의해야 하며, 그러나 이것이 현재의 사례는 아니라는 점을 지적해야 합니다. 조금도.

나는 "일반 대중"이 바보라는 유비쿼터스 인식으로 이어지는 Silky의 어조 (아마도 의도하지 않은)에 동의하지 않습니다. KevinM의 고객은 SSL이 필요하다는 개념이 전혀 없으며 이는 간단히 말해서 평범한 사람입니다. 그들은 바보가 아니고 단지 모를 뿐입니다. "이것이 필요합니다"라고 말하는 것은 "나는 그것 없이 x년을 살았고, 나는 더 잘 살 것이다"라는 응답을 불법적으로 만들거나 아마도 더 나쁜 응답인 "나는 나에게 필요한 것이 무엇인지 듣는 것을 싫어합니다"라고 말할 것입니다. ." 그러니 조심해!

당신의 우려는 정당합니다, 케빈. 고객에게 SSL 인증서가 필요합니다. 나는 당신의 진짜 관심사가 그들에게 판매하는 방법이라고 생각합니다. 걱정해야 할 것은 사용자 로그인뿐만 아니라관리자그리고운영자SSL로 보호하면 이점을 얻을 수 있는 로그인입니다.

예, 이와 관련하여 패킷 스니핑보다 훨씬 더 걱정해야 할 다른 사항이 있습니다.XSS. 그 수가 많고,잘 기록 된.