Незащищённая (http://) страница содержит поля для ввода пароля?

#javascript #безопасность

Такие ошибки выводятся.
Есть форма с type=password и через ajax 
пароль отправляется на сервер.

Firefox выводит ошибки: 


  Незащищённая (http://) страница содержит поля
  для ввода пароля. Это представляет собой угрозу безопасности, которая
  позволяет украсть учетные данные для входа пользователя.
  
  Форма с незащищённым (http://) действием содержит поля для ввода
  пароля. Это представляет собой угрозу безопасности, которая позволяет
  украсть учетные данные для входа пользователя.


Пишут что прослушиванием трафика можно воровать пароли. 


Как тогда безопасно передавать пароли по ajax?
Cookie передающиеся по ajax, тоже не зашифрованные, а значит если там хранить пароли,
то это тоже не безопасно?

    

Ответы

Ответ 1

Атака Man In The Middle позволяет прослушивать трафик, внедряясь между клиентом и
сервером. Таким образом любые конфиденциальные данные должны передаваться по защищённому
каналу. 
В настоящее время он организуется посредством протокола HTTPS (HTTP + SSL). Поэтому
самым простым способом для вас будет подключение SSL сертификата и использование HTTPS.
Статей по теме более чем достаточно. Удачи :)


Ответ 2

Веб меняется. Чаще читай нововведения в новых релизах браузеров. Они хотят все сайты
где есть ввод пароля на https:// Пока-что выводится предупреждение в консоль и серым
цветом в адресной строке "Не защищено". В будущих версиях планируется выводить в адресной
строке заметным цветом. Оранжевым или красным.

Правильно в комментарии написали, Let's Encrypt выдает всем сертификаты бесплатно.


Ответ 3

Если уж вам так хочется сделать http, но для запроса - защитить, то используйте JSONP
для запроса на сервер