我只考虑在整个网站上使用SSL,而不仅仅是为HTTPS访问选择了一些页面.
这会有什么缺点?
编辑2014年8月7日
谷歌现在考虑使用HTTPS进行排名,因此您绝对应该在整个网站上使用SSL:
http://googleonlinesecurity.blogspot.com/2014/08/https-as-ranking-signal_6.html
And*_*vik 38
如今,强烈建议在TLS上运行整个站点(如果可能,请使用https).
开销问题已成为过去,它不再是新TLS协议的问题,因为它现在正在维护会话,甚至在客户端断开连接时缓存它们以便重用.在过去,事实并非如此.这意味着今天,你必须做公钥加密(cpu重的类型)的唯一时间是建立连接.所以当你拥有证书时,没有任何缺点.这意味着您不必在http和https之间来回发送人员,客户将始终在浏览器中看到锁定标志.
Firesheep发布后,该主题受到了额外的关注.你可能已经听说Firesheep是一个Firefox插件,让你轻松(如果你们都使用相同的开放式wifi网络)在Facebook,Twitter等网站上高举其他人的会话.这是有效的,因为这些网站只选择性地使用TLS,如果在站点范围内启用TLS,这对他们来说不会有问题.
因此,总的来说,缺点(例如增加的CPU使用率)对于当前技术的状态可以忽略不计,并且专业人员很清楚,因此通过SSL/TLS提供所有内容!这是现在的方式.
编辑:正如在其他答案中所提到的,在没有SSL/TLS的情况下提供某些网站内容(如图像)的另一个问题是,客户/用户将获得非常烦人的"安全页面上的不安全内容"消息.
此外,如thirtydot所述,您应该将人们重定向到https网站.您甚至可以启用使您的服务器拒绝非ssl连接的标志.
另一个编辑:正如下面的评论所指出的,请记住SSL/TLS不是解决所有网站安全需求的唯一解决方案,还有很多其他注意事项,但它确实为用户解决了一些安全问题,并且很好地解决了它们(尽管有很多方法可以做中间人,即使使用SSL/TLS)
| 归档时间: |
|
| 查看次数: |
16021 次 |
| 最近记录: |