Obwohl Angreifer, die die Netzwerkkommunikation zwischen Ihren Benutzern und Anwendungen ausspionieren (beobachten), nicht speziell zur Zugriffskontrolle eingesetzt werden, wird es immer wichtiger, sich der Offenlegung von Daten bewusst zu sein, insbesondere bei Authentifizierungsinformationen.
Durch die Verwendung von SSL kann effektiv verhindert werden, dass HTTP-Anfragen und -Antworten offengelegt werden. Anfragen an alle Ressourcen, die das https-Schema verwenden, sind vor Passwort-Sniffing geschützt. Der beste Ansatz besteht darin, immer SSL zum Senden von Authentifizierungsinformationen zu verwenden. Möglicherweise möchten Sie auch SSL verwenden, um alle Anfragen zu senden, die Sitzungs-IDs enthalten, um Sitzungs-Hijacking zu verhindern.
Um zu verhindern, dass Informationen zur Benutzerüberprüfung offengelegt werden, verwenden Sie das https-Schema in der URL des Aktionsattributs des Formulars wie folgt:
CODE: <form action="https://example.org/login.php" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" /></p> </form>
Es wird dringend empfohlen, die POST-Methode im Verifizierungsformular zu verwenden, da unabhängig davon, ob Sie SSL verwenden, dadurch weniger Verifizierungsinformationen offengelegt werden als beim GET Verfahren.
Obwohl dies nur dazu dient, die Authentifizierungsinformationen des Benutzers vor Offenlegung zu schützen, sollten Sie dennoch SSL für HTML-Formulare verwenden. Dies geschieht nicht aus technischen Gründen, aber Benutzer werden sich bei der Eingabe von Verifizierungsinformationen wohler fühlen, wenn sie sehen, dass das Formular durch SSL geschützt ist (siehe Abbildung 7-1).
Abbildung 7-1. Die meisten Browser zeigen ein Schlosssymbol an, wenn die aktuelle Ressource durch SSL geschützt ist
Das Obige ist der Inhalt des PHP-Sicherheitspasswort-Sniffings. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (m.sbmmt.com).