Quelle est l'importance d'utiliser SSL sur chaque page de votre site Web? [fermé]

Question

Récemment, j'installé un certificat sur le site je travaille. Je l'ai fait autant du site que possible les travaux avec HTTP, mais après vous être connecté, il doit rester en HTTPS pour empêcher la session salut-jacking, non?

Malheureusement, cela provoque des problèmes avec Google Maps; Je reçois des avertissements dans IE en disant « cette page contient un contenu non sécurisé ». Je ne pense pas que nous pouvons nous permettre de Google Maps Premier en ce moment pour obtenir leur service sécurisé.

Il est en quelque sorte d'un site de vente aux enchères il est donc assez important que les gens ne sont pas facturés pour des choses qu'ils n'ont pas acheté parce que certains pirates est entré dans leur compte. Tous les paiements sont effectués par PayPal, donc je ne suis pas sauver toute sorte d'informations de carte de crédit, mais je garde les coordonnées personnelles. frais frauduleux pourraient être renversées assez facilement si elle venait à cela.

Qu'est-ce que vous les gars suggérez-je faire? Dois-je prendre la plus grande partie du site de HTTPS et simplement sécuriser certaines pages comme jamais où vous entrez votre mot de passe, et c'est-il? C'est ce que nos concurrents semble faire.

Answer 1

je prendrais la plus grande partie du site de HTTPS à quelques exceptions près bien sûr:

1. Toute caisse ou compte écrans d'édition.
2. Tous les écrans qui afficherait des informations "sensibles".

Pour faire face à la question de détournement de session, j'ajouter une autre couche d'authentification où vous les incitez pour leur nom d'utilisateur et mot de passe à la caisse ou quand ils essaient de vue / mise à jour des informations de compte - basiquement chaque fois que vous faites une transition de http à https.

Answer 2

Voici la question, et pourquoi les banques sont encore terriblement vulnérables: leur page d'atterrissage est HTTP, il peut donc être l'homme-in-the-middled. Ensuite, ils ont un lien vers la connexion, et la page de connexion est HTTPS.

Donc, si vous allez directement à la page de connexion, vous ne pouvez pas être Man-in-the-Middled. Mais si vous allez à la page d'accueil / atterrissage, car je contrôle, je vais réécrire la lien de connexion de page à HTTP . Ensuite, je vais faire une poignée de main SSL avec la page de connexion, et vous envoie (l'utilisateur) la version non sécurisée. Alors maintenant, vous (l'utilisateur) faire toutes vos transactions sensibles - et le serveur pense qu'il est HTTPS -. Et je suis au milieu de faire manigances

est très problème difficile à résoudre complètement, car il va tout le chemin jusqu'au niveau DNS sur le côté serveur, et tout le long des actions par défaut dans les navigateurs sur le client- côté.

En tant que fournisseur de contenu, vous pouvez essayer de mettre en javascript pour vérifier que les zones sécurisées de votre site sont accessibles en toute sécurité (et l'espoir que moi, en tant que pirate, ne retirez pas que js avant de le transmettre). Vous pouvez également inclure votre heureux « S'il vous plaît assurez-vous que ce site est accessible via https » bannières.

En tant qu'utilisateur, NoScript a une option pour rendre les sites sûrs sont en HTTPS.

Il y a une nouvelle technologie (je crois qu'il est un marqueur sur les entrées DNS peut-être?) Pas pris en charge par tous les clients / serveurs qui permet à un opt serveur et dire qu'il est uniquement accessible via HTTPS et de mourir d'une mort ardente si elle est d'être MITM -ed. Je ne peux pas pour la vie de me rappeler ou capable de le trouver sur google mais ...

Answer 3

Oui, je voudrais simplement utiliser SSL pour sécuriser des éléments importants tels que les champs d'entrée, les mots de passe, etc. Je crois que ce que la plupart des sites font, y compris les sites bancaires en ligne.