Quanto è importante per utilizzare SSL in ogni pagina del tuo sito web? [chiuso]
https://stackoverflow.com/questions/2899088
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Recentemente ho installato un certificato sul sito su cui sto lavorando. Ho fatto come gran parte del sito il più possibile il lavoro con HTTP, ma dopo l'accesso, deve rimanere in HTTPS per evitare sessione di dirottamento, non è vero?
Purtroppo, questo fa sì che alcuni problemi con Google Maps; Ottengo avvertimenti in IE dicendo "questa pagina contiene contenuti non protetti". Non credo che ci si possa permettere di Google Maps Premier in questo momento per ottenere il loro servizio sicuro.
E 'una sorta di un sito di aste quindi è abbastanza importante che le persone non vengono addebitate per cose che non acquistano perché qualche hacker ha sul proprio conto. Tutti i pagamenti vengono effettuati tramite PayPal, però, così non sto risparmiando alcun tipo di info sulle carte di credito, ma sto mantenendo le informazioni di contatto personale. addebiti fraudolenti potrebbero essere invertiti abbastanza facilmente se mai venuto a questo.
Cosa ragazzi suggerisco di fare? Devo prendere la maggior parte del sito off HTTPS e solo garantire determinate pagine come dove mai si immette la password, e basta? Questo è ciò che la nostra concorrenza sembra fare.
Soluzione
I avrebbe preso la maggior parte del sito off HTTPS con alcune eccezioni, naturalmente:
- Ogni cassa o conto la modifica di schermi.
- Le eventuali schermi che visualizzare le informazioni "sensibili".
Per affrontare il problema dirottamento di sessione, vorrei aggiungere un altro strato di autenticazione dove li avete richiesta di nome utente e password di nuovo alla cassa o quando si cerca di informazioni sul conto view / update - fondamentalmente quando fai una transizione da http a https.
Altri suggerimenti
Ecco il problema, e perché le banche sono ancora terribilmente vulnerabili: la loro pagina di destinazione è HTTP, in modo che possa essere man-in-the-Middled. Poi hanno un collegamento al login, e la pagina di login è HTTPS.
Quindi, se si va direttamente alla pagina di login, si può non essere Man-in-the-Middled. Ma se si va alla pagina Home / atterraggio, dal momento che io controllo che, ho intenzione di riscrivere la login link alla pagina per essere HTTP . Poi farò un handshake SSL con la pagina di login, e (l'utente) mando la versione insicura. Quindi ora sei (l'utente) a fare tutte le transazioni sensibili - e il server pensa che sia HTTPS -. E io sono in mezzo a fare imbrogli
Questo è un molto problema difficile da risolvere completamente perché va tutta la strada fino al livello di DNS sul lato server, e tutta la strada fino alle azioni predefinite nei browser sul client- lato.
In qualità di fornitore di contenuti, si potrebbe provare a mettere in javascript per verificare che le aree protette del vostro sito sono accessibili in modo sicuro (e la speranza che io, come un cracker, non toglie che js prima di inoltrarlo). È inoltre possibile includere il vostro felice "Si prega di assicurarsi che questo sito si accede tramite https" banner.
Come utente, NoScript ha un un'opzione per assicurarsi che i siti sono in HTTPS.
C'è una nuova tecnologia (credo che sia un marcatore su voci DNS forse?) Non è supportata da tutti i client / server che consente a un opt server e dire che è accessibile solo tramite HTTPS e morire di una morte di fuoco se si tratta di essere MITM -ed. Non posso per la vita di me ricordare o in grado di trovare su google se ...
Sì, vorrei solo utilizzare SSL per proteggere gli elementi importanti come campi di input, password, ecc credo che è quello che la maggior parte dei siti di fare, tra cui i siti di online banking.
