Сначала я посмотрел бы на то, если можно сделать запрос от localhost до localhost:8443 и видеть, успешно ли это (IE делают ПОЛУЧЕНИЕ или wget http://localhost:8443),
Я не совсем уверен почему то, что вы имели g виртуальный хост, слушающий на порте 443 затем проксирования его к другому хосту ssl
почему наклон приложение просто использует 443 исходно? если Вы наклоняетесь, изменяют его, Вы могли бы просто использовать iptables для перенаправления порта
Что-то для создания примечания этого, которое другие не упомянули здесь, - то, что некоторые браузеры кэшируют данные формы. Поведение по умолчанию на сайтах SSL обычно ничего не состоит в том, чтобы кэшировать, если Вы не выбрали "save my password". Обычно поля пароля не кэшируются так или иначе, но я видел некоторые причуды (информация об обычно кредитной карте, которую я знаю, не действительно тема вопроса).
Другая вещь отметить состоит в том, что шифрование SSL запускается в квитировании TCP. Однажды под SSL Вы не можете отличить HTTP по SSL от FTP по SSL (кроме предположений, сделанных через номер порта).
Вы также не можете отличить запрос входа в систему от "Im, просто просматривающего" запрос, это запутывает страницу - вытекают из потенциальных хакеров, и также удостоверяется не, только Ваши данные пароля безопасны, но и Ваша история просмотра / cookie-данные / и любые персональные данные, которые соглашаются с Вашей учетной записью.
В целом, при устранении атак "человек посередине" из спектра, Вы сокращаете много потенциальных атак, которое не должно говорить, что Ваш сайт 'безопасен' все же. Также зонирование политики должно помочь защитить Вас от нападений на XSS, так как Вы будете делать зональное изменение, если Ваш пользователь будет перенаправлен из Вашего сайта.
Данные уязвимы где угодно вдоль маршрута, не только первой или последней стадии. Довольно возможно, что система, вовлеченная в передачу, находит имена пользователей, пароли и другие уязвимые данные. Это следует поэтому, что уязвимые данные должны только переместиться по ссылке, которая защищается полностью и конечно который является точно, для чего SSL. В зависимости от того, какие данные включены, могут быть локальные законы, которые диктуют SSL.
Существуют прокси-серверы, которые могли бы хранить данные.
Но существует также обязательство бережно хранить пользовательские пароли. Многие пользователи используют ограниченный набор паролей, таким образом, небезопасный сайт мог бы поставить под угрозу их homebank пароль, например.
Ваш анализ разумен, по моему скромному мнению.
Вещь отметить, я предполагаю, состоит в том, что могли быть кэши в Вашем пути. Таким образом, может случиться так, что запрос зарегистрирован где-нибудь (особенно, если бы вход в систему закончен, ДОБИРАЮТСЯ, который был бы ужасен).
Вероятно, вещь рассмотреть состоит в том, что большая часть доступа к сети происходит в области, где существует много других людей в той же сети. Причем Work/Uni/School является основными примерами. Дома Вы могли утверждать, что это менее опасно, потому что это - только пути вверх, Вы должны быть обеспокоены.
Но действительно, здесь нет никакого вопроса. Вы используете SSL при входе в систему. Вероятно, наиболее убедительный аргумент в пользу парня будет то, что это заставляет Ваш веб-сайт казаться более защищенным, как - идеально - широкая публика никогда не входила бы в систему сайта, который не имеет основанного на SSL экрана входа в систему.
Но позволяет быть реалистичным. Почти наверняка этот вектор атаки не является способом, которым будут скомпрометированы его система или пользователи.
HTH.
Я могу согласиться с размышлениями KevinM к ответу на его собственные вопросы, и John Gardeniers указывает в корректном направлении. Я должен также согласиться с тем, в чем шелковистый сказал, "идеально - широкая публика никогда не будет входить в систему сайта, который не имеет основанного на SSL экрана входа в систему". и укажите, что это, однако, не современный случай вообще.
Я не соглашаюсь с тоном silky (вероятно, неумышленный), который приводит к повсеместному восприятию, которое, "широкая публика", глупо. У клиента KevinM ясно нет понятия потребности в SSL, и это - Ваш средний человек вкратце. Они не глупы, они просто не знают. Сказать, "Вам нужно, это", будет незаконный ответ, "я жил x годы без него, и я буду жить x больше очень хорошо" или возможно даже худший ответ, "Я очень не хочу быть сказанным то, в чем я нуждаюсь". Так, быть осторожным!
Ваше опасение является обоснованным, Kevin. Вашему клиенту действительно нужен сертификат SSL. Я думаю, что Ваше реальное беспокойство должно быть то, как продать их один. Это не только пользовательские логины, которые будут касаться, но и администратор и логины оператора, которые также извлекли бы выгоду из того, чтобы быть защищенным SSL.
Да, существуют другие вещи, которые будут касаться в этом отношении, еще больше, чем пакетный сниффинг, такие как XSS. Они являются многочисленными, и хорошо зарегистрированные.
во всем маршруте, сопровождаемом пакетом, если по HTTP может быть сниффинговым и данные видны... даже при использовании HTTP в Прокси как TOR... с помощью нападения сбора урожая и т.д. можно обмануть Прокси для утечки пакетов данных... поэтому, если существует что-нибудь близко к чувствительному (пароли, персональные данные, частные изображения, и т.д.)... это только подходит для передачи их по HTTPS.
Это также, даже HTTPS уязвим с неправильной реализацией, и их несколько Нападений SSL, применимых по нему... все еще их можно избежать с тщательной реализацией.
Но, использование HTTP для простого текста похоже на приглашение даже новичок n/w дети для сниффинга далеко паролей.