私は何かがあるので、私は尋ねることにしました。 ASP.NETアイデンティティセーフでのデフォルト登録(デフォルトのASP.NET MVCプロジェクトなど)ですか?私は、デフォルトでは、私たちはサーバーに純粋なパスワードを送信することを意味し、それは誰かがキャッチすることは可能ですか?それを改善するために私は何ができますか?私はいくつかの記事を読みましたが、私が気づいたのは、クライアント側のハッシングがサーバ上と同じくらい良い点であり、ポイントがないことです。サーバーに登録するセキュリティ
0
A
答えて
1
SSLエンドポイントに送信されたトラフィックを暗号化して送信クレデンシャルはクリアテキストです。これにより、トラフィックが傍受される可能性のある中間者攻撃のリスクが軽減されます。有効なドメインとこのドメインの有効なSSL証明書を持っていれば、それを使ってトラフィックを暗号化すれば、傍受されたトラフィックを復号化してクレデンシャルを公開するリスクを軽減できます。
これは、ログインエンドポイントをSSLで保護するだけでなく、多くの人がこれが十分だと信じています。セッションが確立されると、別の可能性のある攻撃ベクトルが認証クッキーであるため、すべてのトラフィックを暗号化する必要があります。このcookieはman-in-the-middleでも傍受される可能性があるので、安全で暗号化されたチャネルを経由するように、secure
フラグが付いていることを確認する必要があります。
今後のHTTP 2/SPDYプロトコルでは、すべてがHTTPSで暗号化されているため、これらのセキュリティ問題は軽減されます。
関連する問題
- 1. Springセキュリティ:SpringセキュリティがSessionRegistryに新しいセッションを登録する方法は?
- 2. データベースに登録する登録フォームPHP
- 3. 春のセキュリティを使用してフォームに登録する
- 4. 春セキュリティ名前空間によって登録される豆
- 5. 登録時にサーバー上にフォルダを作成する
- 6. 登録時に、データベースに保存するサーバー側のデータ
- 7. WindowsフォームアプリケーションとコンソールアプリケーションのDDEサーバーの登録
- 8. Joomlaの登録フォームのサーバー側検証?
- 9. 登録プラグイン、登録データにアクセス
- 10. 登録する
- 11. facebookデータを使用してXMPPサーバーに登録する
- 12. C2DM登録IDをサーバーに送信する方法
- 13. JQuery Mobileでドロップダウンメニューの登録アクションを登録するには?
- 14. Facebook登録プラグイン:登録ライフサイクル管理(登録解除)
- 15. リストに登録するIdataareader
- 16. Google+に登録
- 17. Facebookに登録
- 18. facebookによる登録を避ける登録プラグイン
- 19. 春のセキュリティを持つ新規ユーザーの作成/登録?
- 20. 既に登録されているSharePointイベントレシーバーの登録
- 21. Rails 3段階の登録で登録
- 22. 登録
- 23. CodeIgniter Facebookに登録
- 24. slideToggleに登録フォーム
- 25. サードパーティによるサービスワーカー登録
- 26. WindowsセットアッププロジェクトでDLLを登録および登録解除する
- 27. 遅れ登録とdjango登録を統合するポストメソッド
- 28. イメージを手動で登録する方法(イメージ登録)
- 29. OpenLDAPを使用してOpenfireサーバーに登録できるようにする
- 30. 最新の10人の登録ユーザを取得する - SpringセキュリティGrails
これはサーバーの実装ではなく、使用している接続です。 HTTPSログインページ(ログイン後だけでなく)では、あなたは嫌です(皮肉なことを意図しています)。 HTTPを使用すると、_man-in-the-middle_があなたの資格情報を盗んでしまう可能性があります。 BTWハッシングクライアント側はセキュリティを向上させません(この場合)。とにかくトピックはかなり広大です... –
HTTPSはそれを安全にしますか?まだパスワードをキャッチする可能性はありますか? – Koteczeg
はい、いいえ。それは安全ですが、サーバであると主張する真ん中の誰かが依然としてすべてのクライアント要求を取得してから、クライアントであると思われるサーバにルーティングします。もちろん、クライアントは証明書が破損しているため、これを検出できます(ただし、これを確認するのはクライアントのユーザ責任です)。これを強制する場合は、各クライアントに証明書を渡す必要があります(サーバーもクライアントを検証します)。このトピックについては、security.stackexchangeをご覧ください。 –