Citat:
Originally posted by anders.n@Dec 22 2004, 02:07
Det bör inte vara något säkerhetsproblem att ha ett formulär som visas via HTTP, och postas krypterat via HTTPS.
|
Enligt vår Trust avdelning är det endast då den publika nyckeln för SSL certifikatet blivit utdelad som säker kommunikation kan upprättas. Därför måste formuläret där känslig data hämtas först, för att nyckelutbyte skall ske. När detta är gjort skickas denna publika nyckel till informationsservern tillsammans med formulärdata. Först här blir kommunikationen krypterad.
Det är ganska enkelt att testa själv. Prova att posta data till en SSL-sida från en ICKE SSL-sida och sätt din brandvägg på fullständig loggning. Du kommer då (beroende på brandvägg, har själv testat på en WatchGuard 4500) få upp fullständiga formuläruppgifter i klartext.
Med anledning av ovanstående brukar man endast uppge okänsliga uppgifter i steg ett, ex U/P, email osv. och sedan kortnummer och annan känslig data i stegen efter.