1. Dom
  2. Pytanie i odpowiedź
  3. Dobra praktyka czy zła praktyka wymuszania na HTTPS całej witryny?

Dobra praktyka czy zła praktyka wymuszania na HTTPS całej witryny?

2009-06-12 7 views
5

Mam witrynę, która działa bardzo dobrze, gdy wszystko jest w HTTPS (uwierzytelnianie, usługi internetowe itp.). Jeśli wymieszam http i https, wymaga to więcej kodowania (problemy z wieloma domenami).Dobra praktyka czy zła praktyka wymuszania na HTTPS całej witryny?

Nie wydaje mi się, aby zobaczyć wiele stron internetowych, które są całkowicie w HTTPS, więc zastanawiałem się, czy to zły pomysł, aby przejść o tym w ten sposób?

Edit: Witryna ma być utrzymywana na chmurze Azure gdzie przepustowość i użycie procesora może być problemem ...

Źródło

2009-06-12 vidalsasoon

Odpowiedz

3

Jeśli nie masz żadnych skutków ubocznych, prawdopodobnie na razie jesteś w porządku i możesz być szczęśliwy, że nie tworzysz pracy tam, gdzie nie jest ona potrzebna.

Jednak istnieje mały powód do szyfrowania całego ruchu. Z pewnością są to dane logowania lub inne poufne dane. Jedną z głównych rzeczy, które tracisz, jest buforowanie w dół. Twoje serwery, pośredni dostawcy usług internetowych i użytkownicy nie mogą buforować https. Może to nie być całkowicie istotne, ponieważ czyta, że ​​świadczysz tylko usługi. Jednak zależy to całkowicie od konfiguracji i możliwości buforowania, a wydajność w ogóle.

Źródło

2009-06-12 15:26:02 dove

+0

Dzięki, nie wiedziałem o buforowaniu. Buforowanie może być dla mnie bardzo ważne na mojej stronie głównej, ponieważ będą pobierane dane binarne z usługi. – vidalsasoon

4

HTTPS zmniejsza przepustowość serwera więc może być dobrym pomysłem, jeśli sprzęt nie może sobie z tym poradzić. Możesz znaleźć this post useful. Ten artykuł (akademicki) omawia także the overhead of HTTPS.

Źródło

2009-06-12 15:22:38 RichardOD

+1

Link do artykułu akademickiego jest martwy. Czy możesz napisać na żywo lub tylko tytuł artykułu? Pięknie proszę? – hannson

+1

Dlatego właśnie uwielbiam WayBackMachine! https://web.archive.org/web/20100215150018/http://iweb.tntech.edu/hexb/publications/https-STAR-03122003.pdf – Hath1

5

tracisz wiele funkcji https (związane głównie z realizacją)

  • proxy nie mogą stron cache
  • nie można użyć odwrotnego proxy dla poprawy wydajności
  • Nie może obsługiwać wiele domen na sam adres IP
  • Oczywiście, szyfrowanie zużywa CPU

Może to nie jest problem dla ciebie, to naprawdę zależy od wymagań.

Źródło

2009-06-12 15:23:57 chris166

+0

Przeglądarka internetowa również nie buforuje treści. – BacMan

+3

Możesz użyć odwrotnego proxy z https, jeśli odwrotne proxy rozmawia https z klientem i zwykły http na serwerach zaplecza. – dave4420

+4

Przeglądarki internetowe PAMIĘTAJ zawartość HTTPS. Zachowanie pamięci podręcznej zależy tylko od nagłówka kontrolki pamięci podręcznej. Zwykle, gdy HTTPS jest używany do transakcji, bankowości itp., Kontrola Cache jest ustawiona na "no-cache" – chris166

4

Jeśli masz żądania HTTP przychodzące ze strony HTTPS, zmuszasz użytkownika do potwierdzenia ładowania niezabezpieczonych danych. Irytujące na niektórych stronach internetowych używam.

Źródło

2009-06-12 15:24:58

+1

Po prostu, aby rozwinąć nieco ten przykład: jeśli wyświetlasz obrazy z innego adresu URL (np. Serwera treści lub obrazu), które same nie są zaszyfrowane (np. Http://myimageserver.com/Image.jpg), to przeglądarka pojawia się ostrzeżenie, że niektóre części strony nie są zaszyfrowane. –

1

Nienawidzę biegać w bezsensownie wszystkich stronach https, które nie obsługują niczego, co naprawdę wymaga szyfrowania. Głównie dlatego, że wszystkie wydają się być 10 razy wolniejsze niż każda inna strona, którą odwiedzam. Podobnie jak większość stron dokumentacji na developer.mozilla.org zmusi Cię do obejrzenia go za pomocą https, bez żadnego powodu, a ładowanie trwa zawsze długo.

Źródło

2009-06-12 15:57:14 David

+2

Tak, nienawidzę witryn, które dbają o ochronę przeglądania stron internetowych przed wzrokiem ciekawskich ... –

3

Zaleca się korzystanie z całego HTTPS - lub przynajmniej dostarczanie kompetentnych użytkowników z opcją dla wszystkich HTTPS.

Jeśli istnieją przypadki, w których protokół HTTPS jest zupełnie bezużyteczny, a w niektórych przypadkach pogorszona jest wydajność, tylko wtedy domyślnie lub zezwolisz na użycie technologii innej niż HTTPS.

Źródło

2009-11-03 17:38:31 yfeldblum

 Powiązane problemy

  • Brak powiązanych problemów^_^