Как защитить пользовательский вход с помощью SSL

Большинство веб-разработчиков знают, что если их клиенты пользуются пользовательским входом на сайт (вводят логин и пароль), который не обеспечен SSL сертификатом, мошенник может увидеть имя пользователя и пароль в виде простого текста. Но сделать форму безопасного входа не всегда так просто, как кажется, и многие крупные веб-сайты делают это неправильно. Есть хорошие и не очень хорошие способы защиты формы пользовательского входа на сайт с SSL.

Какие существуют риски? Если злоумышленник сможет легко просмотреть логин пользователя и его пароль, он может действовать под именем пользователя, соответственно сможет нанести огромный ущерб, покупая товары, производя денежные переводы, перечитывая электронную почту и т.д. Но есть и гораздо более опасные возможности: многие пользователи часто используют тот же пароль на многих сайтах (используют тот же пароль для доступа к своему банковскому счету, что и пароль к Facebook). Злоумышленник может взломать много других счетов. Если вы позволите людям хранить их пароль на вашем сайте, вы должны нести ответственность за защиту, даже если безопасность вашего собственного сайта не является критически важной(например, форум).

Для удобства, многие крупные сайты и банковские организации размещают форму пользовательского входа непосредственно на своих незащищенных страницах. Но к счастью, многие выбрали более безопасный метод пользовательского входа. Даже если мы заходим на главную страницу с HTTP, то автоматически производится переход на страницу с HTTPS. Если при этом еще и установлен сертификат с расширенной проверкой  (EV SSL), который подсвечивает адресную строку зеленым цветом, шансы фишинговой атаки «man-in-the-middle» сводятся к нулю.

Существуют два основных варианта создания формы безопасного входа:

1. Создать отдельную страницу входа, которая может быть доступна только через HTTPS и (конечно) предусматривает использование HTTPS.
2. Всегда использовать HTTPS на главной странице, где расположена форма пользовательского входа. Это позволяет более удобным способом войти в систему, при этом сохраняя в безопасности личные данные. Так же пользователи с большей вероятностью отправят в закладки домашнюю страницу сайта с HTTPS, чем отдельную страницу входа.

Комментарии запрещены.