SSL online formulář využívající šifrování SSL – jsou data dostatečně zabezpečena?

8. 2. 2016 12:12:27

Zdravím. Mám dotaz. Pokud budu mít na webu "bez SSL" online formulář využívající šifrování SSL, jsou data dostatečně zabezpečena nebo musí mít SSL i web? Jak to mají např. affiliate systémy?

8. 2. 2016 12:12:27

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172886

TomasX

(4 hodnocení)

8. 2. 2016 12:20:38

nejsou, kdokoliv na cestě může změnit ve stránce adresu, kam se má formulář odesílat, tj. je nutné mít v SSL i stránku, kde se daný formulář vykresluje. Týká se to i přihlašovacího popup na webech, které nejsou celé nad ssl, tuhle chybu třeba dlouhé roky obsahovaly weby alzy i seznamu.

8. 2. 2016 12:20:38

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172885

Pavel Janků

(93 hodnocení)

8. 2. 2016 12:49:44

Ten formular odesilas ajaxem? Pokud ano, pak jsou. Po ceste requestu nesmis mit nezabezpecenou (tj. Http) stranku, resp. skript.

8. 2. 2016 12:49:44

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172884

TomasX

(4 hodnocení)

8. 2. 2016 12:54:05

Pavel Janků: to není pravda, je irelevantní jestli se formulář odesílá ajaxem nebo ne, ale celá stránka, která formulář vykresluje a obsluhuje musí být také v ssl, bez vyjímky, jinak je možná modifikace obslužných kódů při MitM a buď změnit adresy na svůj server nebo naopak si při vyplnění formuláře data také poslat k sobě, takže sice formulář odešel bezpečně na tvůj server, ale také na něčí cizí...

8. 2. 2016 12:54:05

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172883

Jamira40

(4 hodnocení)

8. 2. 2016 12:55:37

Nie, nie je to bezpečné a nebude. HTTPS musí byť na celej stránke.

A je úplne irelevantné ako sa odosiela.

8. 2. 2016 12:55:37

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172882

BENQ

8. 2. 2016 13:08:15

Tzn. ze pokud ma napriklad pujckovy web bez SSL, ale s affiliate online formulářem SSL, pak jsou data klientu teoreticky nezapezpečena? Jak poznam, že je na webu nainstalovaný špehovací script?

8. 2. 2016 13:08:15

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172881

TomasX

(4 hodnocení)

8. 2. 2016 13:13:47

ano, považuj to za nezabezpečené. Nepoznáš to, špehovací skript tam může podstrkávat soused, restaurace přes kterou jsi právě připojený na wifi atd. Prostě u tebe to je v pořádku, ale někde jinde není, ssl chrání přenášená data proti změně, sice ne 100 %, ale již na to jsou potřeba hlubší technické znalosti.

Sice někdo může argumentovat, že přihlašovací formulář je pouze striktně na ssl a přes iframe a tvůj web se k němu nedostane. Pak já zase namítnu, že ten dotyčný útočník/robot prostě formulář na tvém webu vymění za svůj stejně vypadající a ochrana je fuč.

8. 2. 2016 13:13:47

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172880

Petr Soukup

(5 hodnocení)

8. 2. 2016 15:13:36

Praktická ukázka, proč to nezabezpečuje v podstatě nic:

Jak lze zjistit heslo k cizímu emailu na Seznam.cz | Souki.cz…

https://www.souki.cz/jak-jde-na-alza-cz-nakoupit-za-cizi-penize

8. 2. 2016 15:13:36

https://webtrh.cz/diskuse/ssl-online-formular-vyuzivajici-sifrovani-ssl-jsou-data-dostatecne-zabezpecena/#reply1172879

TomasX

(4 hodnocení)