【发布时间】:2015-12-11 12:30:10
【问题描述】:
如果您使用 PHP 连接到内部网站上的 Active Directory,需要考虑哪些安全问题?网站是否需要 SSL?
【问题讨论】:
标签: php security web active-directory
【发布时间】:2015-12-11 12:30:10
【问题描述】:
虽然局域网比互联网更安全,但这并不意味着它完全安全。同样,虽然 AD 登录比纯文本用户名/密码更难以欺骗,但它们并非不可能被欺骗。
您希望您可以信任您的员工,但是在包含任何形式的敏感数据(包括但不限于与用户登录相关的任何内容)的任何网站上使用 SSL 是一种很好的做法 - 性能损失可以忽略不计,并且可以否定任何人(内部或外部)窥探数据的几乎所有风险。
如果页面只是当天的食堂菜单,您可能可以安全地跳过 SSL(尽管如果有人在中间攻击并告诉我这是羊肉火锅,但实际上不是,头部会滚动),但如果不是明显的非敏感信息,则没有理由不使用 SSL
【讨论】:
-
感谢您的回复。好的,如果不是 SSL,或者只是他们可以以您的身份登录,中间人可能会获得您的凭据的风险也是如此。我猜他们实际上可以获取您的凭据,因为他们使用 POST 以纯文本形式从客户端发送到服务器?
-
我不相信他们可以获得您的凭据,但他们可能能够以您的身份登录(或者甚至可能以您的身份登录到其他系统) . LDAP 等的细节不是我的专业领域,所以我不想向你保证无论哪种方式
-
非常感谢。也不是我的!哈。我有一些 PHP 的基本知识,并且使用/修改了脚本以使用 LDAP 登录,但是我需要学习网络安全知识。
-
“如果页面只是当天的食堂菜单,您可能可以安全地跳过 SSL”我的观点恰恰相反:即使是无聊的东西也应该加密(但使用 TLS 1.2 而不是 SSL) .