我过去的项目涉及网站销售的产品/服务,并要求“结帐”的过程中,用户把他们的信用卡信息和这样。 很显然,我们得到了SSL证书为它的安全性以及给人安心的客户。 但是我,有点无能,它的精妙之处,最重要的是哪个网站的部分应“使用”证书。
例如,我去过那里的那一刻,你打你被放在HTTPS网页网站 - 主要是银行网站 - 然后有网站,你只投入HTTPS,当你终于检查出。 难道是矫枉过正,使通过HTTPS运行,如果它不与银行的一级处理事情的整个网站? 我应该只让结帐页面HTTPS? 什么是全力以赴的性能影响?
我亲自去“从去到荣辱与共SSL”。
如果您的用户将不会进入一个信用卡号码,当然,没有SSL。
但有从cookie重播固有的可能的安全漏洞。
这里有一个问题,特别是如果你有自己处理支付谈判。
你必须传递从非安全域信息安全域,并再次,没有保护的保证。
如果你做了愚蠢的事情一样共享不安全为您提供安全做,你可能会发现一些浏览器相同的cookie(正确地)将刚落 ,为了安全起见,饼干完全(Safari浏览器),因为如果有人嗅探该cookie在开放,他们可以伪造,并在安全模式下使用它,从而降低你的精彩SSL安全为0,如果曾经得到即使暂时存储在会话中的信用卡资料,您有泄漏危险随时会发生。
如果你不能确定你的软件是不容易出现这些弱点,我建议从一开始SSL,所以他们最初的cookie被在安全传输。
如果网站是公众使用,你应该把公共部分的HTTP。 这使事情变得更容易,更高效的蜘蛛和普通用户。 HTTP请求是更快启动不是HTTPS,这是非常明显的特别是与大量的图片网站。
浏览器有时也有HTTPS比HTTP不同的缓存策略。
但是,这是正常的将它们放到HTTPS,尽快为他们登录,或之前。 在在该网站变得个性化和非匿名的点,也可以是HTTPS从那里开始。
这是一个更好的主意使用HTTPS日志本身页面上,以及任何其他形式,因为它提供了使用挂锁他们进入他们的信息,这让他们感觉更好了。
我一直做它的整个网站上。
我也将使用HTTPS一路。 这不会有大的表现的影响(因为浏览器缓存中的第一个连接后,商议对称密钥),并防止窃听。
在它的途中嗅探曾经,因为完全有线交换网络,在那里你将不得不加倍努力抓住别人的流量(而不是使用集线器的网络),但它在它的方式回来,因为无线网络,创造的再次广播媒体的化妆会话劫持容易,除非通信进行加密。
我认为一个好的经验法则迫使SSL任何地方敏感信息将可能被传送。 例如:我WESCOM信用联盟的成员。 还有的头版上一节,让我登录到我的网上银行帐户。 因此,根页面力量SSL。
认为它是这样的:将敏感的私人信息被发送? 如果是的话,启用SSL。 否则,你应该罚款。
在我们的组织,我们有应用三类 -
我们用这些标准来确定数据的分区,而该网站的方面需要SSL。 SSL的计算是在服务器上或通过加速器,如NetScaler的要么完成了。 作为PII的水平增加也是如此的审计和威胁建模的复杂性。
正如你能想象,我们更喜欢做LBI应用。
肯特钉它。 我只想做一个快速评论 - 亚马逊这是否很好,我认为。 HTTP对于大部分网站,但是当谈到时间结账,你得重新登录(一键式稍有不同),那么可能在这一点上不同的Cookie。 我认为其他评论说同样的事情,但我只是想给一个具体的例子。
一般来说,任何时候你正在传输敏感数据或个人数据,你应该使用SSL - 例如将商品一篮子可能并不需要SSL,请使用您的用户名/密码进行登录,或输入您的CC细节应该被加密。
有一个主要缺点完整的https网站,它不是速度(那OK)。
这将是非常难以运行的Youtube,“像”盒子等没有不安全的警告。
我们正在运行一个完整的安全部队网站,现在开店两年了,这是最大的缺点。 我们设法让YouTube现在的工作,但“添加这”仍然是一个很大的挑战。 如果他们改变什么协议的话那可能是我们所有的YouTube电影是空白......
我只重定向我的网站SSL时,要求用户输入敏感信息。 在购物车,只要他们有他们的个人信息或信用卡详细信息填写页面我重定向到一个SSL页面。 对于网站的其余部分它可能并不需要 - 如果他们只是在看您的商业网站的信息/产品。
SSL是相当计算密集型的,不应该被用来发送大量可能的话数据。 Therfore倒不如在结帐阶段,用户将能够传送敏感信息来启用它。
