Seguridad de inicio de sesión sin SSL

5

Tengo una aplicación web sin SSL (sé que no está bien, trato de tomarla como un desafío). El inicio de sesión es de dos pasos. Primero, el administrador sshs en el servidor y ejecuta un programa complementario de mantenimiento que proporciona un enlace aleatorio (seguro) de una sola vez. El enlace de una sola vez conduce a un formulario de inicio de sesión. El enlace de una sola vez es válido para solo 1 formulario de inicio de sesión y 1 formulario de envío.

¿Esto realmente me da más seguridad? ¿Podría hacerlo mejor?

    
pregunta Dominykas Mostauskis 05.09.2013 - 17:01
fuente

2 respuestas

6

Sin SSL, su conexión puede ser aprovechada por los intrusos: pueden ver los datos, también pueden alterar los datos y, en general, secuestrar su conexión una vez que se haya autenticado. Pueden hacerlo independientemente del método de autenticación.

Si asume que no hay una persona maliciosa que pueda ver y / o modificar el tráfico en tránsito, entonces ... no hay ningún problema de seguridad, y la autenticación básica (como en "mostrar la contraseña") funcionará igualmente bien .

Así que puedo resumirlo como: su enlace de una sola vez obtenido a través de SSH no proporciona ninguna mejora significativa en la seguridad. Sin SSL, la aplicación era débil y todavía es débil. Así que diría, no te preocupes por eso, en particular porque forzar una conexión SSH siempre que un usuario quiera usar la aplicación es un gran problema de usabilidad .

En su lugar, usa SSL .

    
respondido por el Tom Leek 05.09.2013 - 17:07
fuente
3
  

¿Podría hacerlo mejor?

Sí, usa SSL. Este es un problema resuelto . Sabemos cómo hacer seguridad HTTP y estamos intentando inventar tu propio esquema . Es una mala idea. No lo hagas.

    
respondido por el tylerl 05.09.2013 - 17:20
fuente

Lea otras preguntas en las etiquetas