Security 登录用户的SSL?
对于提供免费内容和付费内容的网站(当用户登录时),是否应通过SSL(即https)进行操作 更重要的是,对于注册页面以外的页面,有时会出现类似facebook、第三方横幅等内容。当我在各种浏览器中查看这些页面时,我会收到警告,说明该页面不完全安全,因为一些内容未受到保护 对此是否有标准,原因为何Security 登录用户的SSL?,security,authentication,ssl,standards,Security,Authentication,Ssl,Standards,对于提供免费内容和付费内容的网站(当用户登录时),是否应通过SSL(即https)进行操作 更重要的是,对于注册页面以外的页面,有时会出现类似facebook、第三方横幅等内容。当我在各种浏览器中查看这些页面时,我会收到警告,说明该页面不完全安全,因为一些内容未受到保护 对此是否有标准,原因为何 我注意到,例如,gmail通过https保存它,而facebook选择http…SSL在计算上很昂贵;通过SSL提供页面服务将使您的站点稍微慢一点(特别是在流量很大的情况下)。(您可以通过购买单独的SS
我注意到,例如,gmail通过https保存它,而facebook选择http…SSL在计算上很昂贵;通过SSL提供页面服务将使您的站点稍微慢一点(特别是在流量很大的情况下)。(您可以通过购买单独的SSL硬件,将计算费用替换为财务费用) Gmail在SSL下提供一切服务,因为他们相信您的所有电子邮件内容都是机密的。
基本上,他们认为电子邮件需要比脸谱网更安全。< P>关于第一个问题:你应该考虑使用HTTPS来为你的网站进行用户身份验证和使用,一旦认证,大多数认证方法(通常是基于cookie的,URL中的会话ID或HTTP基本)。将以明文形式传输身份验证令牌(例如cookie)。因此,窃听者可以通过为自己重新使用会话ID/cookie来模拟经过身份验证的用户。这种攻击已经存在很长一段时间了,但像Firesheep这样的工具,再加上未受保护(可能是公共)WiFi网络的使用,使得这种攻击非常实用 关于第二个问题:您会收到关于混合内容的警告,即通过HTTPS提供的页面嵌入了HTTP站点的内容。如果您使用的是安全cookie,您的身份验证令牌(在cookie中)不应泄漏到页面上嵌入的非保护内容。。。然而,用户不可能知道这一点。教用户忽略警告通常是不好的做法。 如果是您的内容,请打开HTTPS。如果是其他人的,他们没有HTTPS访问权限,这就有点棘手了。一个解决方案可能是通过你的网站转发他们的内容(但你需要重写他们的链接等) 一如既往,这是一个风险评估的问题。您实际上可以通过HTTPS使用Facebook(通过显式键入
HTTPS://一些网站不启用HTTPS,因为它被认为是昂贵的,这(XP在服务器名称指示和共享主机方面的兼容性也是一个问题,本文也对此进行了详细介绍)。顺便说一句,警告并不是说证书无效;这是说,该页面不是完全安全的。谢谢SLaks。。。你能看看并告诉我我是否得到了最好的警告吗?我看不到任何警告。@Bruno:好文章,我想知道为什么你的答案中没有链接;-)这是不正确的。gmail和facebook在任何地方都使用SSL的原因是,有人无法嗅到你的身份验证cookie,然后冒充你。这里有一些非常简单的工具。例如[firesheep][1][1]:@imichaelmiers:我知道,但这并不能解释为什么一些网站不使用HTTPS。我想补充一点,即使注册页面本身也需要保护。谢谢-所以基本上,坚持使用HTTPS是好的,用户/浏览器制造商只需要处理警告?:)@大卫科莫:不,这就是问题所在。不要让用户处理警告:确保页面上的所有内容也来自HTTPS。