【问题标题】:How important is it to use SSL on every page of your website? [closed]在您网站的每个页面上使用 SSL 有多重要? [关闭]
【发布时间】:2010-05-24 17:59:44
【问题描述】:

最近我在我正在开发的网站上安装了一个证书。我已经让尽可能多的站点使用 HTTP,但是在您登录后,它必须保持在 HTTPS 中以防止会话劫持,不是吗?

很遗憾,这会导致 Google 地图出现一些问题;我在 IE 中收到警告说“此页面包含不安全的内容”。我认为我们现在买不起 Google Maps Premier 来获得他们的安全服务。

它有点像一个拍卖网站,因此人们不会因为某些黑客进入他们的帐户而不会因为他们没有购买的东西而被收费,这一点非常重要。不过,所有付款都是通过 PayPal 完成的,所以我不会保存任何类型的信用卡信息,但我会保留个人联系信息。如果发生这种情况,欺诈性指控很容易被撤销。

你们建议我做什么?我是否应该将网站的大部分内容从 HTTPS 中移除,并只保护某些页面,例如您输入密码的地方,仅此而已?我们的竞争对手似乎就是这样做的。

【问题讨论】:

    标签: security ssl fraud-prevention


    【解决方案1】:

    这就是问题所在,以及为什么银行仍然非常容易受到攻击:它们的登录页面是 HTTP,因此它可能是中间人。然后他们有一个登录链接,登录页面是HTTPS。

    因此,如果您直接进入登录页面,则不能成为中间人。但是如果你去主页/登陆页面,因为我控制它,我要去rewrite the login page link to be HTTP。然后我将与登录页面进行 SSL 握手,并向您(用户)发送不安全的版本。所以现在你(用户)在做你所有的敏感交易——服务器认为它是 HTTPS——而我在中间做恶作剧。

    这是一个非常难以完全解决的问题,因为它一直到服务器端的 DNS 级别,一直到客户端浏览器中的默认操作 -边。

    作为内容提供者,您可以尝试使用 javascript 来检查您网站的安全区域是否被安全访问(并希望我,作为一个破解者,在转发之前不要删除该 js)。您还可以包含您快乐的“请确保通过 https 访问此站点”横幅。

    作为用户,NoScript has an option 以确保网站使用 HTTPS。

    有一种新技术(我相信它可能是 DNS 条目上的标记?)并非所有客户端/服务器都支持它让服务器选择加入并说它只能通过 HTTPS 访问,如果它是 MITM,就会死去-ed。虽然我一生都无法回忆或无法在谷歌上找到它......

    【讨论】:

    • +1 完全同意像 sslstrip 这样的工具可以 MITM 用户。不幸的是,该问题的唯一解决方案是完全禁用 http,这对于当今互联网上的大多数网站来说不是一个可行的选择。你只需要接受它作为商业风险:(
    • 从来没有听说过这种类型的 MITM 攻击......这太疯狂了。
    • 有 HSTS,我不确定这是否是您的意思。或者 DNSSec,我认为它不会使用 HTTPS。
    【解决方案2】:

    我会从 HTTPS 中删除大部分网站,当然也有一些例外:

    1. 任何结帐或帐户编辑屏幕。
    2. 任何会显示“敏感”信息的屏幕。

    为了处理会话劫持问题,我将添加另一层身份验证,您可以在结帐时或每当他们尝试查看/更新帐户信息时再次提示他们输入用户名和密码 - 基本上是在您从 http 转换到https。

    【讨论】:

      【解决方案3】:

      是的,我只会使用 SSL 来保护重要元素,例如输入字段、密码等。我相信大多数网站都是这样做的,包括网上银行网站。

      【讨论】:

      • 嗯,到处都有输入字段,但我不认为这些数据太私密了。我只会保护密码...
      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2021-04-18
      • 1970-01-01
      • 2011-02-03
      • 2020-02-28
      • 2021-04-13
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多