最近我在我正在处理的网站上安装了证书。我已尽可能多地使用HTTP工作,但在您登录后,它必须保留在HTTPS中以防止会话高兴,不是吗?
不幸的是,这会导致谷歌地图出现问题;我在IE中收到警告说“此页面包含不安全的内容”。我认为我们现在无法承担Google Maps Premier的费用以获得他们的安全服务。
这是一种拍卖网站,所以人们不会因为某些黑客进入他们的帐户而未购买的东西而被收费是非常重要的。所有付款都是通过PayPal完成的,所以我不保存任何类型的信用卡信息,但我保留个人联系信息。如果发生这种情况,欺诈性指控可以相当容易地被撤销。
你们有什么建议我这样做?我应该从HTTPS中取出大部分网站,只保护某些页面,例如输入密码的地方,就是这样吗?这就是我们的竞争对手所做的事情。
答案 0 :(得分:4)
这就是问题,以及为什么银行仍然非常脆弱:他们的登陆页面是HTTP,所以它可以是中间人。然后他们有一个登录链接,登录页面是HTTPS。
因此,如果您直接进入登录页面,则无法成为中间人。但是如果你去主页/登陆页面,因为我控制了它,我会去rewrite the login page link to be HTTP。然后我将与登录页面进行SSL握手,并向您(用户)发送不安全的版本。所以现在你(用户)做了所有敏感的交易 - 而且服务器认为它是HTTPS - 我正在做诡计。
这是一个完全解决的非常难题,因为它一直到服务器端的DNS级别,一直到客户端浏览器中的默认操作 - 侧。
作为内容提供商,您可以尝试使用javascript来检查您网站的安全区域是否被安全访问(并且希望我作为一个破解者,在转发之前不会删除该js)。您还可以包括您的快乐“请确保通过https访问此网站”横幅。
作为用户,NoScript has an option确保网站使用HTTPS。
有一种新技术(我相信它可能是DNS条目的标记吗?)并不是所有客户端/服务器都支持它们让服务器选择并说它只能通过HTTPS访问并且如果它是MITM则死于火热的死亡-ed。我不能为我的生活回忆或者能够在谷歌上找到它...
答案 1 :(得分:2)
我会将大部分网站从HTTPS中删除,当然有一些例外:
为了处理会话劫持问题,我会添加另一层身份验证,您可以在结帐时或在他们尝试查看/更新帐户信息时再次提示他们输入用户名和密码 - 基本上每当您从http转换为HTTPS。
答案 2 :(得分:1)
是的,我只会使用SSL来保护输入字段,密码等重要元素。我相信大多数网站都会这样做,包括网上银行网站。