最近我在我正在处理的网站上安装了证书。我已尽可能多地使用HTTP,但在登录后,它必须保留在HTTPS中,以防止会话高枕无忧,不是吗?在您的网站的每个页面上使用SSL有多重要?
不幸的是,这会导致Google地图存在一些问题;我在IE中收到警告说“这个页面包含不安全的内容”。我认为我们现在无法承担Google Maps Premier的安全服务。
这是一个拍卖网站,所以人们不会因为一些黑客进入他们的账户而不被收费。所有付款都是通过PayPal完成的,所以我没有保存任何类型的信用卡信息,但我保留个人联系信息。如果真有这样的话,欺诈性收费可以相当容易地被扭转。
你们建议我做什么?我应该将网站的大部分关闭HTTPS,并保护某些页面,比如您输入密码的地方,这就是它?这就是我们的竞争对手所做的。
我会拿大头的网站关闭HTTPS当然是有一些例外:
为了处理会话劫持的问题,我会在那里您结账时再次提示他们输入自己的用户名和密码,或添加认证的另一层每当他们尝试查看/更新账户信息 - basicly只要您拨打一个过渡从http到https。
是的,我只是使用SSL来确保重要的元素,如输入字段,密码等。我相信这是大多数网站所做的,包括网上银行网站。
这就是问题所在,以及为什么银行仍然非常脆弱:他们的登陆页面是HTTP,所以它可以是中间人。然后他们有一个链接到登录,并且登录页面是HTTPS。
所以如果你直接进入登录页面,你不能成为中间人。但是如果你去了主页/登陆页面,因为我控制了,我要去rewrite the login page link to be HTTP。然后,我将与登录页面进行SSL握手,并向您(用户)发送不安全的版本。所以现在你(用户)正在做你所有的敏感交易 - 而服务器认为它是HTTPS--而且我正在做恶作剧。
这是一个很难完全解决的难题,因为它一直到服务器端的DNS级别,一直到客户端浏览器中的默认操作。
作为一个内容提供商,您可以尝试在JavaScript中检查您网站的安全区域是否被安全访问(并希望我作为一个黑客在转发它之前不会删除那个js)。您还可以包含您的快乐“请确保通过https访问此网站”横幅。
作为用户,NoScript has an option确保网站处于HTTPS。
有一种新技术(我认为它是DNS条目上的一个标记,也许是?)不支持所有客户端/服务器,它们允许服务器加入并说它只能通过HTTPS访问,并且如果它正在MITM-ED。我不能为我的生活回忆或能够找到它在谷歌,虽然...
那么,到处都有输入字段,但我不认为太多的数据太私人。我只是要确保密码... – mpen 2010-05-24 19:50:18