Proteger los valores de envío de formularios cuando se encuentra en https

Navega tus respuestas
1

Estoy tratando con un formulario de varios pasos, y necesito pasar información del paso 1 al paso 2, luego del paso 2 al paso 3, y así sucesivamente.

El paso 1 contiene un número de membresía y una entrada de número de identificación, así como otro identificador (3 campos para completar para identificar al visitante). En este momento, uso el cifrado RIJNDAEL para cifrar los datos antes de pasar al siguiente paso a través de campos ocultos, pero de alguna manera, estoy corrompiendo los datos (no se descifran de nuevo). Lo arreglaré, pero:

Mi pregunta: ¿Es realmente peligroso dejar estos elementos sin cifrar en primer lugar si está usando HTTPS?

    
pregunta Kobus Myburgh 01.04.2014 - 23:23
fuente

3 respuestas

2

Si está usando HTTPS, no hay razón para cifrar nada en sus formularios . Esto se debe a que HTTPS ya está encriptando todo su tráfico. Si tiene una conexión HTTPS correctamente configurada entre su servidor y el cliente, no hay forma de que un atacante vea los datos que se están transmitiendo entre los dos. Si este no fuera el caso, el cifrado del lado del cliente de datos solo sería marginalmente beneficioso, ya que un atacante determinado podría interceptar el código javascript utilizado para el cifrado mientras se envía desde el servidor al cliente y reemplazarlo con una versión comprometida.

En términos generales, no hay ninguna razón para cifrar los datos en el lado del cliente, ya que se requiere HTTPS para garantizar que tiene un código de cifrado no comprometido, y si tiene HTTPS no necesita ningún cifrado adicional.

    
respondido por el TwentyMiles 02.04.2014 - 00:02
fuente
4

HTTPS protege los datos en tránsito en ambas direcciones entre el cliente y el servidor contra el rastreo y la manipulación, por lo que no es necesario cifrarlos nuevamente, ni siquiera para las contraseñas.

Pero tal vez la intención de su pregunta fue diferente: por lo que veo, su entrada abarca varios formularios y transfiere la entrada de un formulario como campos ocultos al siguiente formulario. Se podría intentar verificar los datos de cada formulario solo una vez y luego creer que están protegidos contra manipulación indebida porque está utilizando HTTPS o los ha cifrado de alguna manera o porque están en campos ocultos. Este no es el caso, por ejemplo. el cliente todavía puede manipular los datos, incluso si están en campos ocultos. Pero esto es, donde el cifrado realmente podría ayudar, pero no el cifrado en sí, sino la parte a menudo (pero no siempre) asociada con él: la resistencia a la manipulación indebida (autenticación de mensajes). Entonces, lo que podría hacer es verificar cada campo de entrada nuevamente en cada envío de formulario, o podría agregar un HMAC (o cifrado + HMAC) a los campos ya marcados y verificar solo, que nadie alteró estos datos.

    
respondido por el Steffen Ullrich 02.04.2014 - 07:11
fuente
0

Https encripta la comunicación entre el servidor y el cliente. por lo tanto, no necesita cifrar cada pieza de información que va entre el servidor y el cliente.

Definitivamente, debe cifrar las contraseñas incluso si está usando https. Echa un vistazo a este enlace: enlace

    
respondido por el akr 01.04.2014 - 23:35
fuente

Lea otras preguntas en las etiquetas

¿Puede generar los parámetros de Diffie-Hellman rápidamente [cerrado] ¿Es ilegal publicar un exploit contra una vulnerabilidad conocida en los Estados Unidos?