security - 登录用户的SSL？

Question

<分区>

Answer 1

关于第一个问题:您应该考虑在您的网站上使用 HTTPS 进行用户身份验证以及身份验证后的使用，因为大多数身份验证方法(通常是基于 cookie、URL 中的 session ID 或 HTTP Basic)都会传输身份验证 token (例如 cookie)以其他方式明确说明。因此，窃听者可以通过为自己重新使用 session ID/cookie 来冒充经过身份验证的用户。这种攻击已经存在很长时间了，但不幸的是，像 Firesheep 这样的工具与未 protected (可能是公共(public)的)WiFi 网络的使用相结合使得这种攻击非常实用。

关于第二个问题:您会收到有关混合内容的警告，即通过 HTTPS 提供的页面嵌入了来自 HTTP 站点的内容。如果您使用的是安全 cookie，您的身份验证 token (在 cookie 中)不应泄漏到页面上嵌入的不 protected 内容......但是，用户不可能知道这一点。教用户忽略警告通常是不好的做法。 如果是您的内容，请打开 HTTPS。如果是别人的，而他们没有 HTTPS 访问权限，那就有点棘手了。一种解决方案可能是通过您的网站转发他们的内容(但您需要重写他们的链接等)。

一如既往，这是一个风险评估问题。您实际上可以通过 HTTPS 使用 Facebook(通过显式键入 https://)。自 posting on Facebook can have you sent to prison ，您不希望任何人冒充您。

一些网站不启用 HTTPS，因为它被认为是昂贵的，这 isn't necessarily true (XP 的服务器名称指示和共享主机的兼容性也是一个问题，本文也对此进行了详细介绍)。