我的最后几个项目涉及销售产品/服务的网站,并且需要"结帐"流程,用户可以在其中输入信用卡信息等.显然,我们获得了SSL证书以确保其安全性,并让客户放心.然而,我对它的细微之处有点无能为力,最重要的是,网站的哪些部分应该"使用"证书.
例如,我去过网站,当你点击主页时,你被放入https - 主要是银行网站 - 然后有网站,当你最终退房时,你只在https.如果不处理银行业务中的某些事情,整个网站是否通过https运行是否过度?我应该只进行结账页面https吗?全力以赴的表现是什么?
我个人选择"从祸患中获取SSL".
如果您的用户从未输入信用卡号,请确保没有SSL.
但是,cookie重放存在固有的安全漏洞.
用户访问网站并获得分配cookie.
用户浏览网站并将数据添加到购物车(使用cookie)
用户使用cookie进入付款页面.
就在这里有一个问题,特别是如果你必须自己处理付款谈判.
您必须将信息从非安全域传输到安全域,然后再传回,而不保证保护.
如果你做一些愚蠢的事情就像你使用安全一样用不安全的方式共享同一个cookie,你可能会发现一些浏览器(正确)只是为了安全起见完全放弃 cookie(Safari),因为如果有人在公开场合嗅到那个cookie ,他们可以伪造它并在安全模式下使用它,将你精彩的SSL安全性降低到0,如果卡片细节甚至暂时存储在会话中,你就会等待发生危险的泄漏.
如果你不能确定你的软件不容易出现这些弱点,我会从一开始就建议SSL,所以他们的初始cookie是在安全的情况下传输的.
如果该站点是供公众使用的,您应该将公共部分放在HTTP上.这使蜘蛛和临时用户的工作更轻松,更高效.HTTP请求的启动速度比HTTPS要快得多,尤其是在拥有大量图像的网站上,这一点非常明显.
浏览器有时也会为HTTPS提供与HTTP不同的缓存策略.
但是,只要他们登录,或者就在之前,就可以将它们置于HTTPS中.在网站变得个性化且非匿名的时候,可以从那里开始使用HTTPS.
使用HTTPS作为登录页面本身以及任何其他表单更好一点,因为它在输入信息之前使用挂锁,这使他们感觉更好.
我一直在整个网站上完成它.
京公网安备 11010802040832号 | 京ICP备19059560号-6 