HTTP non sécurisé & sécurisé

Question

J'ai une application qui utilise 2 sites web (donc je suppose que c'est 2 applications ...). L'utilisateur se connecte via un site Web https et est ensuite redirigé vers une application de site Web non sécurisée en cas de connexion réussie (à l'aide de l'authentification par formulaire). Je (et autres) ont commencé à recevoir le message

"La page Web actuelle tente d'ouvrir un site dans votre liste de sites de confiance. Voulez-vous l'autoriser?"

lorsque l'utilisateur est redirigé.

Y at-il un moyen d'arrêter cela dans la configuration du serveur ou dans le code?

Merci

Answer 1

Je pense que ce que vous faites à la connexion est d'afficher les informations de connexion de la page sécurisée à la page non sécurisée, ce qui apparaît ce message.

Ce que vous auriez pu faire, c'est que le login sécurisé affiche sur une page sécurisée, puis redirige vers la page non sécurisée. Cela devrait supprimer le message.

Answer 2

Ce message semble être l'avertissement des sites de confiance d'Internet Explorer. Il n'y a aucun moyen de le contrôler depuis un serveur distant, et il ne devrait pas y avoir de risque de sécurité.

Answer 3

Si l'utilisateur est responsable des actions effectuées sur le «site non sécurisé», il ne doit pas être non sécurisé. Il n'est pas prudent d'authentifier un utilisateur sur HTTPS, puis de le laisser effectuer des actions en utilisant cette authentification sur HTTP.

Si quelqu'un n'est pas inquiet à propos d'un man-in-the-middle, cela n'a pas de sens pour lui d'utiliser HTTPS du tout. D'un autre côté, si une attaque man-in-the-middle est une possibilité (et en général je suppose), l'envoi du cookie d'identifiant de session (ou d'autres informations d'identification) obtenu via une connexion sécurisée sur un canal non sécurisé permet à un attaquant de voler et falsifier les demandes au service.