不带ssl的登录表单

有大量的stackoverflow回答说，您永远不应该将登录表单放在HTTP页面上，而应该始终使用HTTPS。但我看到很多大型网站都这样做，比如。如果我的网站上没有任何有价值的信息，那么这样做可以吗？没有涉及任何交易，也没有任何私人信息。它相当于一个博客或新闻网站。我真的很想在头版像《纽约时报》上用一个框让用户登录。

不，不行。

如果您的用户重复使用相同的密码，则可能会危及更重要的帐户

因为它不安全，Firefox在控制台日志中警告说它不安全

如果你想在首页登录，为什么不在任何地方都使用https呢？它比http更容易配置，速度更快（使用spdy/http2），而且您可以确保没有人在您的网站中插入广告（有些ISP比http上插入广告更方便…）

而且，登录/密码是个人信息。在大多数国家，就像在欧洲一样，你们有保护的义务

关于《纽约时报》，是的，他们确实使用http，但大型网站很难迁移。但是是的，他们应该使用https

---

请注意，仅https是不够的：您的网站可能仍然容易受到sslstrip攻击。当询问密码或个人信息时，您应该使用HSTS，这是抵御该攻击的唯一保护。（它将强制https连接，但为此，您必须为整个域激活https）

纽约时报的登录

表单

操作将帖子发送到HTTPS url。这个问题更适合security.stackexchange.com。这个问题仍然不太好vcsjones：这真的很奇怪，因为有很多大型网站都这样做，我确信他们的网站上有安全人员team@user4421975他们不关心安全，他们关心他们的广告被展示出来。（并非所有的广告提供商都使用https…）有点苛刻。这不是借口，但很难将现有站点和/或组织从http更改为https。例如：或者从一开始就更容易开始，但是在你的一些站点上使用https在过去是很常见的，因为它非常昂贵和困难。@BazzaDP是的，迁移可能会很痛苦。但是他们几年前就知道了。广告网络不完全支持https肯定是他们退缩的原因之一。我只是说，这不是唯一的原因，而且，在我看来，虽然人们期望内容是免费的，但人们不能对广告（以及所有这一切的意义）抱怨太多。不管怎么说，关键是，你们的答案是正确的，允许从http登录是不可接受的（也不应该如此！），而那个些这样做的网站是错误的——即使它们是大牌网站，并且有一些历史原因说明它们还并没有切换。