HTTP + HTML ověřování na základě formuláře - HTTP+HTML form-based authentication
 | tento článek ne uvést žádný Zdroje. (Květen 2019) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) |
| HTTP |
|---|
| Vyžádejte si metody |
| Pole záhlaví |
| Stavové kódy |
| Bezpečnostní metody řízení přístupu |
| Zranitelnosti zabezpečení |
| HTML |
|---|
| Srovnání |
HTTP + HTML ověřování na základě formuláře, obvykle v současnosti hovorově označovaný jako jednoduše ověřování na základě formuláře, je technika, při které a webová stránka používá a webový formulář sbírat a následně ověřit, pověření informace od a uživatelský agent, typicky a webový prohlížeč. (Upozorňujeme, že výraz „ověřování na základě formuláře“ je dvojznačný. Vidět ověřování na základě formuláře pro další vysvětlení.)
Shrnutí interakce
Kroky této techniky jsou:
- Neověřený uživatelský agent požaduje webová stránka od a webová stránka prostřednictvím HTTP protokol.
- The webová stránka vrátí HTML webová stránka k neověřenému uživatelský agent. Webová stránka se skládá minimálně z HTML webový formulář který vyzve uživatel pro jejich uživatelské jméno a Heslo, spolu s a knoflík označené „přihlásit“ nebo „odeslat“.
- Uživatel vyplní své uživatelské jméno a heslo a poté stiskne tlačítko Odeslat.
- The uživatelský agent pošle webový formulář data (která zahrnují uživatelské jméno a heslo) do webový server.
- Webová stránka implementace, běžící na webovém serveru, některé provádí ověřování a validace operace s daty webového formuláře. Pokud bude web úspěšný, považuje agenta uživatele za ověřeného.
Aspekty přijetí
Ověřování založené na protokolu HTTP + HTML je pravděpodobně nejrozšířenější technikou ověřování uživatelů používanou na serveru Celosvětová Síť dnes. Jedná se o přístup volby v zásadě pro všechny wiki, fóra, bankovní / finanční weby, elektronický obchod webové stránky, Webové vyhledávače, Webové portály a další běžné aplikace webového serveru.
Tato popularita je zjevně způsobena webmasteři nebo jejich zaměstnavatelé, kteří chtějí jemnou kontrolu nad prezentací a chováním obtěžování pro pověření uživatele, zatímco výchozí vyskakovací dialogová okna (pro HTTP základní ověřování přístupu nebo ověřování přístupu digest ), které poskytuje mnoho webových prohlížečů, neumožňuje přesné přizpůsobení. Požadovaná přesnost může být motivována firemní požadavky (jako branding ) nebo problémy s implementací (např. výchozí konfigurace z webové aplikace jako MediaWiki, phpBB, Drupal, WordPress ). Bez ohledu na důvody jakékoli firemní značky nebo uživatelská zkušenost úpravy nesmí odvádět pozornost od několika bezpečnostních aspektů tohoto procesu ověřování.
Bezpečnostní aspekty
- Pověření uživatele jsou předána jasně do webová stránka, pokud nebudou přijaty kroky jako zaměstnání HTTPS jsou převzaty.
- Technika je v podstatě ad hoc v tom fakticky žádná z interakcí mezi uživatelský agent a webový server, jiný než HTTP a HTML samy o sobě jsou standardizováno. Skutečný mechanismus ověřování používaný webem je ve výchozím nastavení neznámý uživatel a uživatelský agent. Samotná forma, včetně počtu upravitelných polí a požadovaného obsahu, je celá implementace - a rozvinutí -závislý.
- Tato technika je neodmyslitelná phishable nebo zranitelní vůči zločincům maskovaným jako důvěryhodná strana v procesu ověřování. Důvodem je, že se spoléhá na to, že koncový uživatel přesně ověří, že pokaždé přistupuje ke správné adrese URL, aby zabránil odesílání hesla na nedůvěryhodný server. Uživatelé to často nedokáží, a proto se phishing stal nejčastější formou narušení bezpečnosti[Citace je zapotřebí ].
Kód
<formulář metoda="POŠTA" akce="/přihlásit se"> <označení>uživatelské jméno: <vstup typ="text" název=„uživatelské jméno“ automatické doplňování=„uživatelské jméno“ Požadované></označení> <označení>Heslo: <vstup typ="Heslo" název="Heslo" automatické doplňování="Aktuální heslo" Požadované></označení> <knoflík typ="Předložit">Přihlásit se</knoflík></formulář>Viz také
- Ověření
- Základní ověřování přístupu
- Digestní ověřování přístupu
- Ověřování na základě formuláře
- Přihlásit se