使用表单身份验证时可以捕获用户凭据吗
Can User Credentials be captured when using Forms Authentication
如果我在标准 HTTP 上使用表单身份验证 运行,当用户在登录 ASP.net 表单中输入用户名和密码时,是否可以捕获此信息(不包括按键记录软件) ,他们的数据安全吗?
Authentication running on standard HTTP, when the user enters their
username & password into the login ASP.net form, can this info be
captured?
简短回答:当然。一旦提交,任何人和任何人都可以捕获此信息。
长答案:任何人都可以看到使用 HTTP(或 HTTPS)协议的所有流量。但是,通过 HTTPS 提供的安全性(加密),该数据对于无法解密的人来说没有任何价值。
因此,如果您的登录表单通过 HTTP 提交用户凭据(以及加载登录表单,但我稍后会回过头来),则该用户的数据是不安全的,并且可以被捕获正在发送纯文本。
但请注意,通过 HTTPS 发送敏感数据(例如凭据)同样重要,通过 HTTPS 加载登录表单也同样重要。
Why?
因为,当通过 HTTP 加载表单时,它允许中间人 (MiTM) 攻击,比如注入键盘记录器)。因此,即使他们通过 HTTPS 提交了凭据,但当他们输入凭据时,损害就已经造成了。
如果我在标准 HTTP 上使用表单身份验证 运行,当用户在登录 ASP.net 表单中输入用户名和密码时,是否可以捕获此信息(不包括按键记录软件) ,他们的数据安全吗?
Authentication running on standard HTTP, when the user enters their username & password into the login ASP.net form, can this info be captured?
简短回答:当然。一旦提交,任何人和任何人都可以捕获此信息。
长答案:任何人都可以看到使用 HTTP(或 HTTPS)协议的所有流量。但是,通过 HTTPS 提供的安全性(加密),该数据对于无法解密的人来说没有任何价值。
因此,如果您的登录表单通过 HTTP 提交用户凭据(以及加载登录表单,但我稍后会回过头来),则该用户的数据是不安全的,并且可以被捕获正在发送纯文本。
但请注意,通过 HTTPS 发送敏感数据(例如凭据)同样重要,通过 HTTPS 加载登录表单也同样重要。
Why?
因为,当通过 HTTP 加载表单时,它允许中间人 (MiTM) 攻击,比如注入键盘记录器)。因此,即使他们通过 HTTPS 提交了凭据,但当他们输入凭据时,损害就已经造成了。