ما مدى أهمية استخدام SSL في كل صفحة من صفحات موقع الويب الخاص بك؟ [مغلق
https://stackoverflow.com/questions/2899088
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد قمت مؤخرًا بتثبيت شهادة على موقع الويب الذي أعمل عليه. لقد صنعت أكبر قدر ممكن من الموقع مع HTTP ، ولكن بعد تسجيل الدخول ، يجب أن تبقى في HTTPs لمنع رفع الجلسة ، أليس كذلك؟
لسوء الحظ ، هذا يسبب بعض المشاكل مع خرائط Google ؛ أحصل على تحذيرات في قول "هذه الصفحة تحتوي على محتوى غير آمن". لا أعتقد أنه يمكننا شراء خرائط Google Premier الآن للحصول على خدمتها الآمنة.
إنه نوع من موقع المزاد ، لذلك من المهم إلى حد ما ألا يتم فرض رسوم على الأشياء التي لم يشتريها لأن بعض المتسللين دخلوا في حسابهم. تتم جميع المدفوعات من خلال PayPal ، لذلك لا أدخر أي نوع من معلومات بطاقة الائتمان ، لكنني أحتفظ بمعلومات الاتصال الشخصية. يمكن عكس الاتهامات الاحتيالية بسهولة إلى حد ما إذا وصلت إلى ذلك.
ماذا تقترح يا رفاق أنني أفعل؟ هل يجب أن أرفع الجزء الأكبر من الموقع عن HTTPS وأؤمن فقط صفحات معينة مثل أي مكان تدخل فيه كلمة المرور ، وهذا كل شيء؟ هذا ما يبدو أن منافستنا تفعله.
المحلول
سأأخذ الجزء الأكبر من الموقع من HTTPS مع بعض الاستثناءات بالطبع:
- أي شاشات تحرير أو تحرير الحساب.
- أي شاشات من شأنها أن تعرض معلومات "حساسة".
للتعامل مع مشكلة اختطاف الجلسة ، أود أن أضيف طبقة أخرى من المصادقة حيث تطالب بها اسم المستخدم وكلمة المرور مرة أخرى عند الخروج أو كلما حاولوا عرض/تحديث معلومات الحساب - بشكل أساسي عندما تقوم بالانتقال من HTTP إلى HTTPs.
نصائح أخرى
إليكم القضية ، ولماذا لا تزال البنوك ضعيفة بشكل فظيع: صفحتها المقصودة هي HTTP ، لذلك يمكن أن تكون في حالة من الولادة. ثم لديهم رابط لتسجيل الدخول ، وصفحة تسجيل الدخول هي https.
لذا ، إذا ذهبت مباشرة إلى صفحة تسجيل الدخول ، فلن تكون في حالة اختلاف. ولكن إذا ذهبت إلى صفحة الصفحة الرئيسية/المقصودة ، لأنني أتحكم في ذلك ، سأذهب أعد كتابة رابط صفحة تسجيل الدخول إلى http. ثم سأقوم بمصافحة SSL مع صفحة تسجيل الدخول ، وأرسل لك (المستخدم) الإصدار غير الآمن. لذا ، فأنت (المستخدم) تقوم بجميع معاملاتك الحساسة - ويعتقد الخادم أنها https - وأنا في الوسط أقوم بالتشينيغان.
هذا ال جداً المشكلة الصعبة التي يجب حلها تمامًا لأنها تسير على طول الطريق إلى مستوى DNS على جانب الخادم ، وصولاً إلى الإجراءات الافتراضية في المتصفحات على جانب العميل.
بصفتك مزودًا للمحتوى ، يمكنك محاولة وضع JavaScript للتحقق من أنه يتم الوصول إلى المناطق الآمنة من موقعك بشكل آمن (وآمل أن لا أزيل ذلك ، بصفتي تكسيرًا ، قبل إعادة توجيهه). يمكنك أيضًا تضمينك السعيد "من فضلك تأكد من الوصول إلى هذا الموقع عبر لافتات HTTPS.
كمستخدم ، Noscript لديه خيار للتأكد من أن المواقع في HTTPS.
هناك تقنية جديدة (أعتقد أنها علامة على إدخالات DNS ربما؟) غير مدعومة من قبل جميع العملاء/الخوادم التي تتيح للخادم الاختيار ويقول إنه لا يمكن الوصول إليه إلا عبر HTTPs والموت الناري إذا كان MITM-ED. لا أستطيع أن أتذكر أو قادر على العثور عليها على Google ...
نعم ، أود فقط استخدام SSL لتأمين عناصر مهمة مثل حقول الإدخال وكلمات المرور ، وما إلى ذلك. أعتقد أن هذا ما تفعله معظم المواقع ، بما في ذلك المواقع المصرفية عبر الإنترنت.
