Di que estoy en la url http://mysite.com/form.html. Al visualizar la fuente, veo¿Todavía está encriptada la información si uso <form action = "https"> desde una página http regular?
<form method="post" action="https://mysite.com/process">
<input type="text" name="user" value="information">
<input type="submit">
</form>
Si pulso el botón de enviar, se forma la información se cifra cuando se envía a la página de proceso/controlador?
Sí - se enviarán los datos en forma cifrada utilizando el protocolo de enlace habitual que implementa SSL. Desde allí, puede optar por mantener a su usuario bajo SSL o devolverlo a una conexión estándar usando un identificador de sesión.
No es seguro. Ver [publicación de Troy Hunt] (http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html). –
'Esto' es seguro: lo que no es seguro es enviar un formulario HTTPS desde una página HTTP. Un MITM es una preocupación definitiva aquí, pero una vez más, un MITM en un formulario HTTPS también es una preocupación. Si bien la observación hecha en el video es constructiva, su método de transmitirlo no lo fue. Intente agregar algunas palabras más a un solo comentario, en lugar de múltiples comentarios con menos palabras, la próxima vez. Además, Sripathi Krishnan ya hizo este punto hace más de cuatro años. Me sentí como un poco nigromante, o spamming de un blog, ¿verdad? – Seidr
Trataré de dar mejores comentarios en el futuro. Esta publicación es un resultado de búsqueda prominente para "https form action", y este patrón sigue siendo muy común. La respuesta de Sripathi Krishnan tiene menos votos y no es la respuesta aceptada, aunque creo que debería ser la respuesta aceptada. –
Se cifrará en los niveles de red más bajos (por ejemplo, paquetes sin procesar, TCP, IP, Ethernet) no en el nivel de aplicación (ya que se decodifica de forma transparente en el lado del receptor).
Un hombre en el medio no vería el texto sin formato de los datos del formulario enviado cuando la URL de destino utiliza el cifrado (como HTTPS).
No es seguro. Ver [publicación de Troy Hunt] (http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html). –
Sí lo hará, pero tenga en cuenta que se ha realizado un esfuerzo considerable en la capacitación de los usuarios para buscar el candado SSL en la página que contiene el formulario (si la capacitación es efectiva es una cuestión diferente). Los navegadores, en general, se quejan si un formulario en una página segura se envía a una página insegura, por lo que este comportamiento capacitado tiene un propósito positivo.
Si implementa su formulario de esta manera, el usuario no tendrá manera de saber que el envío del formulario será seguro (sin mirar el código de la página) hasta que pulse enviar. Esto puede no importar en su caso de uso, pero va en contra de los intentos de capacitar a las personas para buscar el candado si los datos en el formulario son tales que el usuario solo debe enviarlos de forma segura.
gracias, ese es un buen punto! – John
No. "El usuario no tendrá forma de saber que el envío del formulario será seguro hasta que llegue al envío": ¡no se transmite de forma segura! El atacante podría haber inyectado un registrador de teclas de JavaScript o cambiado la acción del formulario. Ver [publicación de Troy Hunt] (http: //www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html). –
no hay garantía de que va a ser encriptado, o que los datos presentados llegará a su sitio web.
Dado que la respuesta original era sobre http, un hombre en el medio podría haber alterado su fuente html, o podría haber insertado algún javascript para modificar el parámetro de acción de su formulario. Por lo tanto, su forma podría leer como esto cuando alcanza el navegador
<form method="post" action="https://evilsite.com/process">
<input type="text" name="user" value="information">
<input type="submit">
</form>
Lo que significa que debe utilizar HTTPS en todas sus páginas, si quieres estar seguro.
Un muy buen punto – NibblyPig
¡Pregunta interesante! – NibblyPig