あなたのウェブサイトのすべてのページでSSLを使用することはどれほど重要ですか？ [閉まっている

Question

最近、私が取り組んでいるウェブサイトに証明書をインストールしました。 HTTPでできるだけ多くのサイトを作業しましたが、ログインした後は、セッションハイジャックを防ぐためにHTTPSに留まる必要がありますよね？

残念ながら、これはGoogleマップにいくつかの問題を引き起こします。 IEで「このページには不安定なコンテンツが含まれている」という警告が表示されます。今すぐGoogle Maps Premierを購入する余裕がないと思います。

それは一種のオークションサイトなので、一部のハッカーがアカウントに入ったために購入しなかったものに対して人々が請求されないことがかなり重要です。ただし、すべての支払いはPayPalを通じて行われているため、クレジットカード情報を保存していませんが、個人的な連絡先情報を保持しています。詐欺の請求は、それが起こった場合、かなり簡単に逆転することができます。

あなたたちは私が何をすることを提案しますか？サイトの大部分をHTTPSから外し、パスワードを入力する場所のように特定のページを確保する必要がありますか？それが私たちの競争がしているようです。

Answer 1

もちろん、いくつかの例外を除いて、サイトの大部分をHTTPSから外します。

1. チェックアウトまたはアカウントの編集画面。
2. 「敏感な」情報を表示する画面。

セッションのハイジャックの問題に対処するために、認証の別のレイヤーを追加し、チェックアウト時またはアカウント情報を表示/更新しようとするときに、ユーザー名とパスワードのユーザー名とパスワードのプロンプトを追加します。

Answer 2

問題は次のとおりです。また、銀行がまだ恐ろしく脆弱である理由は、ランディングページがHTTPであるため、中間にいることがあります。その後、ログインへのリンクがあり、ログインページはhttpsです。

したがって、ログインページに直接移動すると、中間になることはできません。しかし、あなたがホームページ/ランディングページに行くと、私はそれを制御するので、私は ログインページリンクをHTTPに書き換えます. 。次に、ログインページでSSLハンドシェイクを行い、（ユーザー）が安全でないバージョンを送信します。だから今、あなたは（ユーザー）すべての敏感なトランザクションを行っています - そしてサーバーはそれがhttpsだと考えています - そして私は中央にシェナンガンをしています。

これは 非常に サーバー側のDNSレベルまでずっとずっと、クライアント側のブラウザのデフォルトアクションまでずっと下がっているため、完全に解決するのは難しい問題です。

コンテンツプロバイダーとして、JavaScriptを入れて、サイトの安全な領域が安全にアクセスされていることを確認してみてください（そして、私はクラッカーとして、それを転送する前にそのJSを削除しないでください）。 Happyを含めることもできます。

ユーザーとして、 NoScriptにはオプションがあります サイトがhttpsにあることを確認します。

新しいテクノロジーがあります（DNSエントリのマーカーだと思いますか？）サーバーは、MITM-EDである場合はhttpsを介してのみアクセスし、燃えるような死を死ぬと言うすべてのクライアント/サーバーによってサポートされていません。私の人生のために、私の人生のために、またはGoogleでそれを見つけることができません...

Answer 3

はい、SSLを使用して、入力フィールド、パスワードなどの重要な要素を保護するだけです。オンラインバンキングサイトを含むほとんどのサイトが行うことだと思います。