我有一个正常共享网络托管的网站,没有HTTPS。
在网站上,我有一个表格发布到提供商JotForm,其中包含HTTPS URL。
这些提交的文件会被安全地传输吗?
具有拦截但不篡改网络流量能力的对手将无法查看用户提交的表单,因为这些数据将通过HTTPS发送并加密。从这个意义上说,所提出的方法比以明文发送内容更安全。
然而,这种方法很容易受到其他类型的攻击。这种方法的一个主要漏洞是,非安全表单无法提供完整性保证。能够更改网络上明文的攻击者可以在传输给用户时简单地篡改非安全表单。有了这种能力,攻击者可以(例如):
- 更改表单ACTION参数以发布到攻击者控制的页面,以获取数据或执行中间人攻击
- 注入JavaScript代码以拦截表单值
- 更改表单收集的元素
- 强制表单值以强制用户提交意外内容
第二个人为因素的问题是,最终用户将无法确定网站的安全性(例如,浏览器在提交表单之前无法检查证书,并且页面将不会显示与通过HTTPS加载的页面相关联的元素)。这可能会导致用户不愿填写表格,特别是如果最终用户认为提交的材料是保密的。