HTTP ページと HTTPS ページの両方を持つサイトがあります。
Cookieを安全にするために、次のことを試しました。
<httpCookies requireSSL="true" />フォーム認証を使用したWeb.config 。Application_Endどちらの場合も、ページは HTTP では機能しません。上記のソリューションは、すべてのページが HTTPS を使用している場合にのみ機能すると思います。
このパズルを解決するにはどうすればよいですか?
「安全」に設定された Cookie の要点は、https 経由でのみ送信されることです。http ページはそのコピーを受け取りません。ウィキペディアから:
セキュア Cookie は secure 属性が有効になっており、HTTPS 経由でのみ使用され、クライアントからサーバーへの送信時に Cookie が常に暗号化されるようにします。これにより、Cookie が盗聴による Cookie の盗難にさらされる可能性が低くなります。
安全な Cookie を使用する場合は、すべてのページで https が使用されていることを確認する必要があります。
質問:このパズルを解決するには、要件を分析し、ウェブサイト全体に https を使用するか、http と https の組み合わせを使用する方がよいかを確認する必要があります。
上記のコメントのいずれかで代替案も求めているため、以下の情報が代替案の決定に役立つことを願っています。
バックグラウンド:
基本的に、機密データとは関係のないすべてのページには http を使用し、機密データを含むページには https を使用します。多くの場合、ウェブサイト全体に https を使用することは好まれません。移動するデータが多くなり、データの暗号化と復号化に時間がかかるため、ページの読み込み/表示に実際にかかる時間が長くなってしまうからです。
ただし、上記の一般的な概念に対する反論もあり、Web サイト全体で https を使用することを奨励することもできます。これを確認してください:ウェブサイトの一部にのみ HTTPS を実装する方法は?
はい、安全な Cookie はhttpsページでのみ使用できます。
いくつかの提案
機密データを保護する必要があり、これは Cookie にも当てはまります。悪いことが起こらなければならない場合は、ここでどのように悪いことが起こり得るかを確認してください:ハッカーがユーザーから Cookie を盗み、その名前で Web サイトにログインすることはできますか?
ユーザー データを安全なデータと安全でないデータに分けることができます。たとえば、Flipkart.com通常、さまざまなアイテムを閲覧したり、検索を行ったり、すべてのアイテムの詳細を表示したりできます..、そのようなページはすべてhttp. 興味深いのは、最終的に購入に進み、それらのページがすべてhttps. このリンクは、この概念を開始するのに役立ちます: http://www.codeproject.com/Articles/5523/Switching-Between-HTTP-and-HTTPS-Automatically または:ログイン ページのみに SSL ページを設定する