abh*_*jit 6 https login web-applications
性能是唯一的问题吗?在整个用户的会话中不能使用https连接吗?显然发生的重定向更少!
我在http vs. https性能上发现了这个相关问题
编辑:好的,我不是说' 仅用于登录'.相反,我想问的是,如果你在网站的任何地方需要https,无论是登录还是付款,为什么不通过http与网站进行所有通信呢?
例如,假设一个博客站点.现在,可以通过发送电子邮件来创建博客帖子.接下来,我可能会提供"登录",然后提供"添加帖子"操作.在这种情况下,通常https 仅用于登录,然后再用常规http来实际添加帖子.因为,现在需要提供一种"管理"模式,可以说,当一个人处于"管理"模式时,为什么不通过https进行所有通信,即登录.
可以在任何地方使用HTTPS连接.它只使用SSL(TLS)传输所有数据,这是一种公共/私有和对称加密形式.这使得解密发送到服务器和从服务器发送的数据非常困难.
由于加密和解密数据的成本,它(在某些情况下)不用于不传输敏感数据的地方.不使用它只会减少服务器负载.当需要传输敏感数据时,应始终使用它.如果您输入(例如)信用卡数据,则应检查协议是否为https而不是http.
性能不是唯一的问题.如果您要使用HTTPS,您确实需要检查所有内容(包括第三方图像和库)是否可通过HTTPS获得.否则,您将在IE上生成烦人的混合内容消息:
这也意味着您需要为您使用的每个主机名(例如images.example.com)或某种通配符SSL证书(例如*.example.com)提供单独的SSL证书.
精心配置的站点应该只使用HTTPS在客户端和服务器上遭受轻微的CPU攻击:
http://blog.httpwatch.com/2009/01/15/https-performance-tuning/