http フォームから https 経由で送信することは許容されますか? 安全であるように思われますが、中間者攻撃 (ここに良い議論があります)。次のようなサイトがありますミントhttp ページからサインインできますが、https のポストは行います。私のサイトでは、http ランディング ページを持ちながら安全にログインできるようにすることが要求されています。セキュリティ上のリスクが生じる可能性を考えると、すべてのユーザーがログインするために安全なページに移動するようにする (またはランディング ページを安全にする) べきでしょうか?
ベストアンサー1
最も単純な言葉で言えば、http ページから https ページにフォームを投稿すると、フォーム内のデータが送信されるときに暗号化されます。中間者攻撃があった場合、ブラウザが警告を表示します。
ただし、元の http フォームが中間者攻撃の対象となり、https ポストバック アドレスが攻撃者によって変更された場合、警告は表示されません。データは実際には暗号化されたままですが、中間者攻撃者は (最初にキーを送信したため) 暗号化を解除してデータを読み取ることができます。
また、フォームが他の手段 (スクリプト化された接続) を通じてデータを送り返す場合、フォームが投稿される前に暗号化されていないデータがネットワーク経由で送信される可能性があります (ただし、優れた Web サイトでは、機密データに対してこのようなことは決して行いません)。