私は登録/ログイン/アカウント/チェックアウト ページで HTTPS を強制するショップを管理していますが、それだけです。私は人々にすべてのページで HTTPS を強制するよう説得しようとしています。
どこでも HTTPS を使用することが推奨されていることは知っていますが、その理由はわかりません。
サイトの一部を HTTP で維持する正当な理由はありますか?
質問する
117 次
2 に答える
1
正当な理由の 1 つは、ページのパフォーマンスが売上に大きな影響を与え (多くの研究が公開されています)、SSL がパフォーマンスに大きな影響を与えることです (特に適切に調整されていない場合)。
しかし、SSL と非 SSL を混在させて実行すると、注意を怠ると落とし穴がたくさんあります...
ただし、SSL 内に配置する正確なページもセキュリティに大きな影響を与えます。HTTPS を POST ターゲットとして HTTP を使用してログイン フォームを送信するとします。簡単な分析では、これは安全であることが示唆されますが、実際には MITM によってログインが変更される可能性があります。ページを作成して投稿を別の場所に送信するか、Ajax を挿入してリクエストを別の場所にフォークします。
さらに、HTTP と HTTPS が混在していると、セッションを安全に転送するという問題があります。ユーザーは、セッションにリンクされたショッピング バスケットを SSL サイトの外で満たし、SSL サイト内で支払いを行います。移行中のセッション固定の問題をどのように防止しますか? ?
したがって、HTTP の専門的なスキルを持っている場合にのみ、混合サイトを実行することをお勧めします。ここでこの質問をしているので、そうでないことを意味します。
妥協案は、SPDY を使用することです。SPDY は SSL を必要としますが、ほとんどのサイト (特に、パフォーマンスが大幅に最適化されていないサイト) をはるかに高速にします。現在、MSIE ではサポートされていません。また、(最後に確認したときは) Firefox ではデフォルトで有効になっていません。しかし、近いうちに HTTP/2.0 の大部分を占めるようになるでしょう。
HTTPS 経由で (適切な) CDN を使用すると、SSL のパフォーマンスへの影響の多くも軽減されます。
于 2013-05-17T14:43:32.007 に答える
-1
Web サイト全体で HTTPS を使用する必要はまったくありません。HTTPS を使用すると、ネゴシエーション アルゴリズムなどの追加の手順やハンドシェイクは言うまでもなく、接続を暗号化および復号化するために追加の作業を行う必要があるため、サーバーはより多くのリソースを消費します。
トラフィックの多い Web サイトの場合、パフォーマンスへの影響が非常に大きくなる可能性があります。
これは、HTTP でプレーンを使用する場合よりも応答時間が遅くなることも意味します。
HTTPS は、ユーザーがサイトに重要な情報を送信するとき、フォームに入力するとき、ログインするとき、サイトのプライベートな部分など、実際に安全にする必要があるサイトの部分でのみ使用する必要があります。
もう 1 つの問題は、セキュリティで保護されていない URL のリソースを使用する場合です。おそらく、他の場所でホストされている画像/スクリプトです。HTTPS 経由で利用できない場合、訪問者は安全でない接続に関する警告を受け取ります。
また、HTTPS データ/ページはほとんどキャッシュされないという事実を認識する必要があります。これにより、パフォーマンスのペナルティも追加されます。
于 2013-05-17T14:43:26.993 に答える