性能是唯一的问题吗?在整个用户的会话中不能使用https连接吗?发生重定向的次数明显减少了!
上找到了这个相关的问题编辑:好的,我的意思并不是“仅使用 进行登录”。相反,我想问的是,如果你在网站的任何地方需要https,无论是登录还是付款,为什么不通过http与网站进行所有通信呢?
举个例子,假设一个博客站点。现在,可以通过发送电子邮件来创建博客帖子。接下来,我可能会提供“登录”,然后提供“添加帖子”操作。在这种情况下,通常使用https 仅进行登录,然后再使用常规http来实际添加帖子。因为,现在需要提供一种“管理员”模式,可以这么说,当一个人处于“管理员”模式时,为什么不通过https进行所有通信,即登录。
答案 0 :(得分:6)
可以在任何地方使用HTTPS连接。它只使用SSL(TLS)传输所有数据,这是一种公共/私有和对称加密形式。这使得解密发送到服务器和从服务器发送的数据变得非常困难。
由于加密和解密数据的成本,在不传输敏感数据的地方(在某些情况下)不使用它。不使用它只会减少服务器负载。当需要传输敏感数据时,应始终使用它。如果您输入(例如)信用卡数据,则应检查协议是否为https而不是http。
答案 1 :(得分:5)
性能不是唯一的问题。如果您要使用HTTPS,您确实需要检查所有内容(包括第三方图像和库)是否可通过HTTPS获得。否则,您将在IE上生成烦人的混合内容消息:
这也意味着您需要为您使用的每个主机名(例如images.example.com)或某种通配符SSL证书(例如* .example.com)提供单独的SSL证书。
精心配置的站点应该只使用HTTPS在客户端和服务器上遭受轻微的CPU攻击:
http://blog.httpwatch.com/2009/01/15/https-performance-tuning/
答案 2 :(得分:3)
https不仅仅用于登录。每当我登录我的在线银行,或购物车逻辑,或在线提供信用卡时,我都会看到https是协议。最好是,或者我不会使用该应用程序。
答案 3 :(得分:3)
“因为登录名和密码是最需要的敏感数据 受到保护。其余的可以被嗅到......,但那只会是 在“阅读模式”中,黑客将无法修改任何内容。“
这对我来说听起来不对。
如果登录会创建某种会话,则会在此期间创建任何数据 允许修改,然后必须有某种会话令牌 或标识符,通常存储在浏览器cookie(或等效的)中。 如果您可以嗅探该会话令牌,则可以构建更新 请求并将其发送到服务器。
答案 4 :(得分:1)
简单地说,您使用HTTPS发送安全信息。因此,信用卡信息和密码将使用HTTPS来保护它们。将它与用于将囚犯从县监狱带到州监狱的装甲车相比。 但是,一旦此信息位于正确的位置,就可以使用简单的令牌来引用信息而无需进一步曝光。登录时,安全连接将生成会话ID,该会话ID在到期前10分钟有效。虽然有人可能会捕获此会话ID,但仍然没有足够的信息来完全接管您的信息。黑客只会有一个短暂的窗口来滥用该ID。因此,会话的风险低于密码。 与信用卡信息相同。一旦网站知道您的信用卡号码,它就可以询问您是否要使用卡1,卡2或其他卡。它只为每张卡分配一个ID,通常只是1到你拥有的卡数。如果有人读到这个,他们知道你用卡1支付49.95美元。但他们仍然不知道更多关于这张卡的信息。
需要保护的东西,使用装甲车或HTTPS发送。其他任何东西都可以使用任何其他类型的交通工具。
答案 5 :(得分:-2)
因为登录名和密码是需要保护的最敏感数据。
如果没有加密,其余部分可以被嗅探,但只有“读取模式”,黑客将无法修改任何内容。然而,通过获取登录名/密码,他将会。
当然,根据应用程序,所有者可能会认为其余数据不够灵敏,无法承担加密所有流量的额外负担。但是,某些应用程序(如网上银行系统)会在所有页面上执行SSL,因为帐户状态,交易甚至设置都可以被认为足够敏感,以防止它们被窥探。