Если пользователь попадает на страницу входа без https. Когда пользователь входит в систему, действие указывает на URL-адрес https. У меня вопрос - зашифрована ли информация о пользователях? Есть ли способ обнюхать и получить информацию о пользователях?
Пользователь на странице входа в систему -> маршрутизатор / Интернет (информация не зашифрована) (пользователи в той же сети могут получать вашу информацию) -> https: // url (информация становится зашифрованной)
Спасибо!
Это небезопасно, поскольку злоумышленник может выполнить атаку «человек посередине» и изменить целевой URL-адрес POST на незашифрованной странице на сайт злоумышленника, сохранить имя пользователя и пароль, а затем перенаправить на исходную зашифрованную страницу.
У жертвы даже не будет возможности заметить, что что-то не так.
Итак: никогда не делай этого.