Web applications 为什么https只用于登录？

性能是唯一的问题吗？不能在整个用户会话中使用https连接吗？显然，重定向发生的次数更少了

我在网上找到了这个相关的问题

编辑：好的，我不是说“仅用于登录”。相反，我想问的是，如果你在网站的任何地方都需要https，无论是登录还是付款，为什么不通过http与网站进行所有通信

---

例如，假设一个博客站点。现在，可以通过发送电子邮件来创建博客帖子。接下来，我可能会提供“登录”和“添加帖子”操作。在这种情况下，https通常仅用于登录，然后用于实际添加帖子的常规http。既然现在需要提供一个“管理”模式，也就是说，为什么不在一个人处于“管理”模式（即登录）时通过https进行所有通信呢？因为登录和密码是需要保护的最敏感的数据

如果没有加密，其余部分当然可以被嗅探，但那将只在“读取模式”下，黑客将无法修改任何内容。但是，通过获得登录名/密码，他将

---

当然，根据应用程序的不同，所有者可能会认为其余数据不够敏感，无法承受加密所有流量的额外负载。但是，某些应用程序（如网上银行系统）在所有页面上都使用SSL，因为帐户状态、交易甚至设置都可以被视为足够敏感，以防被窥探。

https的用途远不止登录。每当我登录我的在线银行，或做购物车逻辑，或给信用卡在线，我看到https是协议。最好是这样，否则我就不用这个应用了。

HTTPS连接可以在任何地方使用。它只是使用SSL（TLS）传输所有数据，SSL是一种公共/私有和符号加密的形式。这使得对发送到服务器和从服务器发送的数据进行解密变得非常困难

---

由于加密和解密数据的成本，它（在某些情况下）不用于不传输敏感数据的地方。不使用它只会降低服务器负载。当需要传输敏感数据时，应始终使用它。如果您正在输入（例如）信用卡数据，您应该检查协议是否为https而不是http。

简单地说，您使用https发送安全信息。因此，信用卡信息和密码将使用HTTPS进行保护。把它比作一辆装甲车，用来把囚犯从县监狱带到州监狱。 但是，一旦这些信息位于正确的位置，就可以使用一个简单的令牌来引用这些信息，而无需进一步公开。当您登录时，安全连接将生成一个会话ID，该ID在过期之前有效10到20分钟。虽然有可能有人会捕获此会话ID，但仍然没有足够的信息完全接管您的信息。黑客只有很短的时间可以滥用该ID。因此，会话的风险比密码的风险小。 信用卡信息也一样。一旦网站知道了你的信用卡号码，它就可以问你是想使用信用卡1、信用卡2还是其他卡。它只为每张卡分配一个ID，通常只是从1到你拥有的卡数的一个数字。如果有人读到这封信，他们知道你用卡1支付了49.95美元。不过，他们对这张卡还是一无所知

---

需要保护的东西，用装甲车或HTTPS发送。其他任何东西都可以使用其他类型的交通工具。

性能不是唯一的问题。如果您打算使用HTTPS，您确实需要检查您的所有内容，包括第三方图像和库，是否可以通过HTTPS访问。否则，您将在IE上生成恼人的混合内容消息：

这也意味着您需要为您使用的每个主机名（例如images.example.com）或某种通配符SSL证书（例如*.example.com）提供单独的SSL证书

精心配置的站点在使用HTTPS的客户端和服务器上只会受到轻微的CPU攻击：

因为登录名和密码是需要的最敏感的数据 被保护。其余的可以被嗅探…，但那只会 在“读取模式”下，黑客将无法修改任何内容。”

我听上去不对

如果登录创建了某种会话，在此会话期间，任何数据 如果允许修改，则必须有某种会话令牌 或标识符，通常存储在浏览器cookie（或等效文件）中。 如果可以嗅探该会话令牌，则可以构造更新

---

请求并将其发送到服务器。

您在哪里发现https仅用于登录？我将其写为“已使用”，因为我登录我的银行应用程序进行检查，并且它确实对我会话中的每个页面都有效。这就是我想看到的。在这种情况下，现在时态及其强调对我来说似乎是合适的。我想反驳OP的观点，即https“只”适合登录。我不认为HTTPS用于银行业，而且是可选的。银行应用程序会使用HTTPS来解决您的会话，因为至关重要的是所有发生的事情都以安全的方式处理。+ 1。仅在提交URL时使用HTTPS会出现新的安全问题，不过-请参见-1我不喜欢提到它是最敏感的数据。在我看来，信用卡信息等更为敏感