Protezione dei valori dei post dei moduli quando su https

Naviga le tue risposte
1

Ho a che fare con un modulo a più fasi e devo passare le informazioni dal passaggio 1 al passaggio 2, quindi dal passaggio 2 al passaggio 3 e così via.

Il passaggio 1 contiene un numero di iscrizione e un numero di ID, oltre a un altro identificatore (3 campi da completare per identificare il visitatore). In questo momento utilizzo la crittografia RIJNDAEL per crittografare i dati prima di passare al passaggio successivo tramite campi nascosti, ma in qualche modo sto corrompendo i dati (non decodifica di nuovo). Lo aggiusterò, ma:

La mia domanda: è davvero pericoloso lasciare questi elementi non crittografati in primo luogo se utilizzi HTTPS?

    
posta Kobus Myburgh 01.04.2014 - 23:23
fonte

3 risposte

2

Se utilizzi HTTPS, non c'è motivo di crittografare alcun elemento nei tuoi moduli . Questo perché HTTPS sta già crittografando tutto il tuo traffico. Se si dispone di una connessione HTTPS correttamente configurata tra il server e il client, non è possibile per un utente malintenzionato visualizzare i dati trasmessi tra i due. In caso contrario, la crittografia del lato client dei dati sarebbe solo marginalmente vantaggiosa, poiché un determinato utente malintenzionato potrebbe intercettare il codice javascript utilizzato per la crittografia mentre viene inviato dal server al client e sostituirlo con una versione compromessa.

In generale, non vi è alcun motivo per crittografare i dati sul lato client, poiché HTTPS è necessario per garantire che si disponga di codice di crittografia non compromesso e, se si dispone di HTTPS, non è necessaria alcuna crittografia aggiuntiva.

    
risposta data 02.04.2014 - 00:02
fonte
4

HTTPS protegge i dati in transito in entrambe le direzioni tra client e server da sniffing e manomissione, quindi non è necessario crittografarli nuovamente, anche se non per le password.

Ma forse l'intenzione della tua domanda era diversa: da quello che vedo il tuo input si estende su più moduli e tu trasferisci l'input da un modulo come campi nascosti nel modulo successivo. Si potrebbe tentare di controllare ogni dato del modulo una sola volta e quindi ritenere di essere protetti dalla manomissione perché si sta utilizzando HTTPS o crittografati in qualche modo o perché si trovano in campi nascosti. Questo non è il caso, ad es. il cliente può ancora manomettere i dati, anche se si trovano in campi nascosti. Ma questo è, dove la crittografia potrebbe davvero aiutare - ma non la crittografia in sé, ma la parte spesso (ma non sempre) ad essa associata: la resistenza alla manomissione (autenticazione dei messaggi). Quindi, ciò che potresti fare è verificare ogni campo di input di nuovo su ogni modulo, oppure aggiungere un HMAC (o crittografia + HMAC) ai campi già controllati e verificare solo che nessuno abbia manomesso questi dati.

    
risposta data 02.04.2014 - 07:11
fonte
0

Https crittografa la comunicazione tra il server e il client. quindi non è necessario crittografare ogni singola informazione che va tra server e client.

Dovresti crittografare definitivamente le password anche se stai usando https. Dai un'occhiata a questo link: link

    
risposta data 01.04.2014 - 23:35
fonte

Leggi altre domande sui tag

È illegale pubblicare un exploit contro una vulnerabilità nota negli Stati Uniti? È sicuro condividere il mio nome host