这种情况究竟有多不安全,请注意,由于网站应用程序中的限制,我无法使用SSL(耶!
有人拦截login用户凭证有多简单? 鉴于该url不知道?
就像我说的,我们会使用SSL,但是这个应用程序在SSL连接下工作不正常。
有人拦截login用户凭证有多简单? 鉴于该url不知道?
如果您没有对通信进行encryption,那么拦截login凭证将会变得微不足道。 攻击者不需要知道URL,这将是一个非问题。 星巴克的一位使用开放式wifi的客户,将会传送所有未encryption的内容,包括用户名,密码和“未知”URL等,以供任何有嗅探器的人查看。 同样的事情适用于非交换有线networking上的用户。 使用有线交换networking,攻击者可以使用镜像端口或类似的端口。
修复您的应用程序以使用SSL。
除了在未encryption的情况下已经提到的有关stream量拦截的内容之外,也许您最大的问题就是通过默默无闻的安全性。
你相信你的用户不要说话。
你是在给公开使用的人提供一个“秘密的”域名? 你的用户真的会担心安全吗? 我知道谁甚至不守自己的ATM密码。 那么被解雇或退出的用户呢? 或者在电话上与您通话,以获得关于某个问题的支持,并在公开您的秘密URL的地方等着呢?
如果你在互联网上有这个域名,它将被放在一个数据库中,并被蜘蛛search到search引擎。 有些东西肯定会出现。
总之,如果你有用户在外,而你依靠他们不要谈论它,你将会遇到一个问题。
当然,除了肩上冲浪,中间拦截的人等等。
简短的回答:这是非常不安全的。