最近我在我正在處理的網站上安裝了證書。我已儘可能多地使用HTTP,但在登錄後,它必須保留在HTTPS中,以防止會話高枕無憂,不是嗎?在您的網站的每個頁面上使用SSL有多重要?
不幸的是,這會導致Google地圖存在一些問題;我在IE中收到警告說「這個頁面包含不安全的內容」。我認爲我們現在無法承擔Google Maps Premier的安全服務。
這是一個拍賣網站,所以人們不會因爲一些黑客進入他們的賬戶而不被收費。所有付款都是通過PayPal完成的,所以我沒有保存任何類型的信用卡信息,但我保留個人聯繫信息。如果真有這樣的話,欺詐性收費可以相當容易地被扭轉。
你們建議我做什麼?我應該將網站的大部分關閉HTTPS,並保護某些頁面,比如您輸入密碼的地方,這就是它?這就是我們的競爭對手所做的。
我會拿大頭的網站關閉HTTPS當然是有一些例外:
爲了處理會話劫持的問題,我會在那裏您結賬時再次提示他們輸入自己的用戶名和密碼,或添加認證的另一層每當他們嘗試查看/更新賬戶信息 - basicly只要您撥打一個過渡從http到https。
是的,我只是使用SSL來確保重要的元素,如輸入字段,密碼等。我相信這是大多數網站所做的,包括網上銀行網站。
這就是問題所在,以及爲什麼銀行仍然非常脆弱:他們的登陸頁面是HTTP,所以它可以是中間人。然後他們有一個鏈接到登錄,並且登錄頁面是HTTPS。
所以如果你直接進入登錄頁面,你不能成爲中間人。但是如果你去了主頁/登陸頁面,因爲我控制了,我要去rewrite the login page link to be HTTP。然後,我將與登錄頁面進行SSL握手,並向您(用戶)發送不安全的版本。所以現在你(用戶)正在做你所有的敏感交易 - 而服務器認爲它是HTTPS--而且我正在做惡作劇。
這是一個很難完全解決的難題,因爲它一直到服務器端的DNS級別,一直到客戶端瀏覽器中的默認操作。
作爲一個內容提供商,您可以嘗試在JavaScript中檢查您網站的安全區域是否被安全訪問(並希望我作爲一個黑客在轉發它之前不會刪除那個js)。您還可以包含您的快樂「請確保通過https訪問此網站」橫幅。
作爲用戶,NoScript has an option確保網站處於HTTPS。
有一種新技術(我認爲它是DNS條目上的一個標記,也許是?)不支持所有客戶端/服務器,它們允許服務器加入並說它只能通過HTTPS訪問,並且如果它正在MITM-ED。我不能爲我的生活回憶或能夠找到它在谷歌,雖然...
那麼,到處都有輸入字段,但我不認爲太多的數據太私人。我只是要確保密碼... – mpen 2010-05-24 19:50:18