我的用户帐户和登录页面是SSL,但我网站的其余部分不是。有什么比较好的做法来切换两者,因为我正在做整个站点SSL?我应该在所有网页上使用SSL还是仅在某些帐户页面上使用SSL?
回答
使用SSL存在开销,但实际上它可能不会引起担忧 - 正如this SO question中指出的那样。
您可以通过仅对那些增加了价值的交易使用SSL来降低哪些开销 - 即您希望确保传输中数据的机密性和完整性。在许多情况下,只有用户名和密码的详细信息才是这种情况,但也可能存在其他您希望使用这些功能的交易。
例如,在要求用户提交信用卡号的页面上使用ssl。不要没有足够的理由过度使用它。
为什么?正如Brabster所写,在大多数情况下,开销可能并不显着。 只要登录提供对用户相关数据的访问(并且可能只是以前购买的列表),就应该使用加密,除非有强烈的理由反对它。 – FRotthowe 2010-03-01 21:43:42
但是什么构成过度使用?它真的用尽了很多CPU周期吗?让一个网站和它的用户之间的所有通信加密是不是很好?现在我们没有足够的计算能力来做到这一点吗? – 2010-03-01 21:44:10
如果您不需要保密性和完整性,那么它可能被称为过度使用。如果开发人员更容易加密所有流量,那么这是一个需要考虑的因素,但是在所有情况下加密所有流量更好是因为我们看起来不正确。所以我登录到我的Wikipedia帐户。当然,您可能认为它对我的编辑事务加密是有效的,但为什么任何人都可以执行的视图操作? – Brabster 2010-03-01 22:37:52
一般而言,一旦登录,会话ID就会在客户端和服务器之间传递。如果此cookie以明文形式发送(与非SSL请求/响应一样),则可以嗅探并用于输入用户的帐户而无需登录(session hijacking attack)。这是why google recently enabled 'always on https' for gmail。
我一直想知道为什么有些网站只需要SSL登录,因为不使用SSL的其他网页暴露您的会话密钥与网站。我猜这些网站不需要很高的安全性。 – allyourcode 2010-03-02 07:13:34
- 1. 使用.htaccess在SSL站点上强制使用非SSL的某些页面
- 2. .htaccess某些页面上的SSL
- 3. 仅在特定页面上使用.htacces强制SSL
- 4. 如何仅在使用htaccess的某些页面上启用https?
- 5. Magento总是显示所有页面上的SSL网址
- 6. 我应该使用页面,窗口还是用户控件
- 7. 我应该在Heroku SSL Endpoint中使用SHA-1还是SHA-2?
- 8. 在SSL页面中使用SSL iframe有什么危险
- 9. SignalR:将SSL页面上的JS客户端连接到不使用SSL的SelfHost
- 10. 仅在一个域上使用ExpressJS SSL
- 11. 在您的网站的每个页面上使用SSL有多重要?
- 12. 在网站上隐藏某些页面
- 13. 如何在Heroku上使用restlet在某些URL上强制使用SSL
- 14. 仅对某些页面使用Drupal.behaviors?
- 15. 如何在SSL页面上使用不安全的Web脚本
- 16. 如何使用Selenium检测页面上的SSL是否损坏
- 17. ssl页面显示为使用非ssl页面中的资源...但不是
- 18. 使用JS不能在某些页面上使用JS的100%页面高度
- 19. 是否可以在具有自定义域的GitHub页面上使用HTTPS/SSL?
- 20. 如何在SSL页面上加载CSS?
- 21. codeigniter,在特定页面上强制ssl
- 22. 在页面上强制SSL(https)
- 23. 限制SSL仅用于登录页面
- 24. 如何强制某些网址使用SSL并强制所有其他网站使用非SSL?
- 25. 仅使用angularjs上所有页面的数组进行分页
- 26. SSL证书。哪些页面?
- 27. 我应该在嵌套结构上还是仅在父窗口上使用sync.Mutex?
- 28. 仅在特定页面上使用rails_xss
- 29. 在每一页上启用SSL Prestashop
- 30. 在Wininet上使用SSL
我经常想知道SSL开销是否真的超过了好处。我一直认为,对于几乎所有的互联网流量,为什么*不会*你(你是你的用户,而不是像一个政府机构谁愿意能够阅读sl terror的恐怖分子的信息以及我们的)想要它加密端到端?如果一切都被加密了,会不会更好?我们不应该期望吗? – 2010-03-01 21:41:59