已登錄用戶的SSL？

Question

對於提供免費內容和付費內容（當用戶登錄時）的網站，它是否應該通過SSL（即https）運行？

更重要的是，除了註冊頁面以外的頁面，有時候會有像Facebook這樣的內容，第三方橫幅等等。當我在各種瀏覽器中查看這些頁面時，我會收到警告，提示頁面不完整因爲有些內容是不受保護的。

有沒有這方面的標準，原因是什麼？

我注意到，例如，Gmail會保留它通過HTTPS而Facebook選擇採用HTTP ...

Answer 1

關於第一個問題：您應該考慮爲您的網站使用HTTPS進行用戶身份驗證及其用法，因爲大多數身份驗證方法（通常基於Cookie，會話ID在URL或HTTP Basic中）都會傳輸身份驗證標記（例如cookie）否則將被清除。因此，竊聽者可以通過爲自己重新使用session-ID/cookie來冒充認證用戶。這種攻擊已經存在了很長一段時間，但Firesheep等工具與使用未受保護的（可能是公共的）WiFi網絡相結合使得這種攻擊非常實用。

關於第二個問題：您會看到混合內容的警告，即通過HTTPS提供的頁面，這些頁面嵌入了來自HTTP站點的內容。如果您使用的是安全Cookie，則您的身份驗證令牌（位於Cookie中）不應泄漏到網頁上嵌入的未受保護的內容中......但是，使用這些信息是不可能的。教導用戶忽略警告通常是不好的做法。 如果這是您的內容，請打開HTTPS。如果是別人的，並且他們沒有HTTPS訪問權限，那麼這有點棘手。一種解決方案可能是通過你的網站轉發他們的內容（但你需要重寫他們的鏈接等）。

一如既往，這是風險評估的問題。實際上，您可以通過HTTPS使用Facebook（通過明確輸入https://）。由於posting on Facebook can have you sent to prison，你不想讓任何人冒充你。

有些網站不啓用HTTPS，因爲它被認爲是昂貴的，其中isn't necessarily true（服務器名稱指示和共享主機的XP兼容性也是一個問題，如本文中詳述）。

Answer 2

SSL的計算成本高昂;通過SSL提供頁面服務會讓您的網站變慢一點（特別是流量很大）。 （您可以通過購買單獨的SSL硬件來替換計算費用與財務費用）

Gmail在SSL下提供所有服務，因爲他們認爲您的所有電子郵件內容都是保密的。
基本上，他們認爲電子郵件需要比Facebook更安全。