¿Cuán importante es para utilizar SSL en todas las páginas de su sitio web? [cerrado]

Question

Recientemente he instalado un certificado en el sitio web que estoy trabajando. He hecho tanto del sitio como sea posible trabajar con HTTP, pero después de iniciar la sesión, tiene que permanecer en HTTPS para evitar que la sesión al secuestro, ¿no?

Por desgracia, esto causa algunos problemas con Google Maps; Consigo las advertencias en IE diciendo "esta página incluye contenido no seguro". Creo que no podemos darnos el lujo de Google Maps Premier ahora mismo para obtener su servicio seguro.

Es una especie de un sitio de subastas por lo que es bastante importante que la gente no se pagan por las cosas que no compran porque algún hacker se metió en su cuenta. Todos los pagos se realizan a través de PayPal, sin embargo, así que no estoy salvando cualquier tipo de información de tarjetas de crédito, pero yo estoy manteniendo información de contacto personal. cargos fraudulentos podrían invertirse con bastante facilidad si llegara a eso.

¿Qué es lo que ustedes sugieres que haga? ¿Debo tomar la mayor parte del sitio de HTTPS y simplemente asegurar ciertas páginas como que cada vez que introduzca su contraseña, y eso es todo? Eso es lo que parece nuestra competencia que hagan.

Answer 1

Me tomaría la mayor parte del sitio de HTTPS con algunas excepciones, por supuesto:

1. Cualquier pago y envío o cuenta de la edición de pantallas.
2. Cualquier pantallas que mostrar la información "sensible".

Para tratar la cuestión secuestro de sesión, me gustaría añadir otra capa de autenticación en el que las provocan por su nombre de usuario y contraseña de nuevo en la caja o cada vez que intentan información de la cuenta ver / actualizar - básicamente cada vez que hagas una transición de http a https.

Answer 2

Aquí está el problema, y ??por qué los bancos siguen siendo terriblemente vulnerable: su página de destino es HTTP, por lo que puede ser el middled-hombre-en. Después, tienen un vínculo con el inicio de sesión y la página de inicio de sesión es HTTPS.

Así que si vas directamente a la página de inicio de sesión, no se puede ser hombre-en-el-middled. Pero si vas a la página página de inicio / aterrizaje, ya que yo controlo eso, voy a ingresar el vínculo sea HTTP . A continuación, voy a hacer un protocolo de enlace SSL con la página de inicio de sesión, y usted (el usuario) enviar la versión insegura. Así que ahora estás (el usuario) hacer todas sus transacciones sensibles - y el servidor piensa que es HTTPS -. Y estoy en el medio haciendo travesuras

Este es un muy problema difícil de resolver por completo, ya que va todo el camino hasta el nivel de DNS en el lado del servidor, y todo el camino a acciones por defecto en los navegadores en el cliente- lado.

Como un proveedor de contenido, que podría intentar poner en javascript para comprobar que las áreas seguras de su sitio se está accediendo de forma segura (y la esperanza de que yo, como una galleta, no quito que js antes de enviarlo). También puede incluir su feliz "Por favor asegúrese de que este sitio se accede a través de https" banners.

Como usuario, NoScript tiene un opción para asegurarse de que los sitios están en HTTPS.

Hay una nueva tecnología (creo que es un marcador en las entradas de DNS tal vez?) No es compatible con todos los clientes / servidores que permite a un opt servidor y dicen que sólo se puede acceder a través de HTTPS y el morir una muerte ardiente si está siendo MITM -ed. No puedo por la vida de mí recordar o capaz de encontrar en Google, aunque ...

Answer 3

Sí, me gustaría simplemente usar SSL para proteger elementos importantes tales como campos de entrada, contraseñas, etc. Creo que es lo que hacen la mayoría de los sitios, incluyendo sitios de banca en línea.