Invio di password in chiaro su connessione non HTTPS [duplicato]

-1

Da un po 'di tempo utilizzo Zenfolio (un sito per i fotografi per creare portfolio del proprio lavoro). Ho notato che quando uso la loro funzione cartelle protette da password, quando vado a una pagina che è protetta da password, la connessione non è sicura, in modo da Chrome si lamenta (e presumo che Firefox e IE sono gli stessi, in quanto saranno in guardia l'utente la connessione non è sicura nonostante sia stata richiesta una password). Ora, nessuna delle mie cose è confidenziale che sia protetta da password (sto solo cercando di tenerlo da occhi indiscreti poiché la maggior parte delle cose protette da password sono immagini di famiglia a cui il pubblico non ha realmente bisogno di accedere - ma se loro ha avuto accesso, non è che possano farci molto ...)

Utilizzano le connessioni protette HTTPS / TLS quando lavoro / sviluppo il mio sito (apportare modifiche al sito, caricare foto, ecc.)

Ho una conoscenza di base di ciò che HTTPS / TLS fa in quanto assicura che la connessione tra il server e il client è sicuro, quindi sto supponendo che Zenfolio utilizza l'autenticazione in chiaro, a meno che da qualche parte sul lato client la password è essere hash prima di essere rispedito al server ...? Non ho guardato nessuno dei loro codici di pagina per vedere se fa questo o no ...

Quindi la mia domanda è questa: dovrei preoccuparmi di questa mancanza dell'uso delle connessioni HTTPS / TLS quando ottengo la password dal client (utente)? La maggior parte degli altri servizi (SquareSpace) utilizza HTTPS o TLS quando si eseguono tali attività.

    
posta cbassett 27.05.2017 - 08:22
fonte

1 risposta

2

In questi giorni, devi sempre utilizzare HTTPS (TLS). Non solo per proteggere i dati trasmessi. Ma anche perché questo è solo l'unico modo in cui puoi essere sicuro che il server a cui ti stai collegando sia davvero il server che vuoi connettere.

Torna alla tua domanda. Se qualcuno sarà in grado di acquisire la password, anche con hash sul lato client, è davvero importante se la password è in chiaro o hash? Può essere utilizzato per accedere al servizio in entrambi i modi. C'è solo una differenza, probabilmente non sarebbe utile per siti diversi.

Inoltre, tieni presente che se viene utilizzata l'autenticazione HTTP di base, i dati vengono trasferiti come stringa codificata Base64 "nome utente: password". Base64 è solo una codifica e può essere ricodificato molto semplice.

    
risposta data 27.05.2017 - 13:24
fonte

Leggi altre domande sui tag