安全でない非公開ドメイン上で資格情報を渡す
このシナリオでは、このシナリオがどのくらいの安全であるか、Webサイトのアプリケーションの制限によりSSLを使用できないことに注意してください(Yeah Go Figure!):
- 私たちは知る必要があるユーザーにのみ知られているドメインを持っています
- ユーザーはこのサイトにユーザー名+パスワードの詳細を入力します
誰かがロギングインユーザー資格情報を傍受するのはどのくらい簡単ですか? URLがわからないことを考えると
私たちがSSLを使うだろうと言うように、アプリはSSL接続の下でうまく機能しません。
誰かがロギングインユーザー資格情報を傍受するのはどのくらい簡単ですか? URLがわからないことを考えると
トラフィックを暗号化していない場合は、ログイン認証情報を傍受するのは些細なことでしょう。攻撃者はURLを知る必要はありません - それは問題ではありません。 Open WiFiを使用して、スターバックの顧客は、ユーザー名、パスワード、および「不明」URLなどを含むすべてのすべてを送信します。同じことが、切り替えられていない有線ネットワーク上のユーザーにも適用されます。有線交換ネットワークでは、攻撃者はミラーポートなどを使用することもできます。
SSLで動作するアプリを修正してください。
暗号化されていないときに交通傍受についてすでに言われているものに加えて、おそらくあなたの最大の問題は曖昧さを通してセキュリティです。
あなたはあなたのユーザーが話をしないように信頼しています。
あなたはそれを公共で使っている人に「秘密」ドメイン名を与えていますか?あなたはユーザーがセキュリティを心配することになるでしょうか?私は彼らのATMピンを守らない人を知っています。そして、解雇されたユーザーはどうですか?またはあなたの秘密のURLを公有しているいくつかの問題とBlah Blah Blahをサポートするために、電話であなたと話をしますか?
そして、インターネット上でこのドメインを持っている場合は、データベースに参加し、検索エンジン用のクモによって検索される予定です。どういうわけかどうか上に縛られています。
短い場合は、ユーザーがいなくても、あなたがそれについて話をしないように頼っているのでは、あなたは問題を抱えているつもりです。
もちろん、それは肩のサーフィン、中間傍受の男などに加えて...
短い答え:非常に安全ではない。