我知道使用 SSL 是一种方法。我访问 Facebook 和 LinkedIn 等网站,发现它们只在处理密码和个人设置等敏感数据时使用 https。这是怎么做到的?他们如何能够在某些网站上实现 https 而在其他网站上使用 http,同时仍然保持安全?
最佳答案
这种方法不安全。使用 HTTPS 时它是安全的,但是一旦您切换到 HTTP,所有数据都将通过未加密的线路传输。 session ID cookie(或维护状态和用户身份)也是如此。因此,在未加密的线路上窃取该信息并试图冒充您仍然存在差距。
但是这种双车道的方法很常见。因为 HTTPS 有一些缺点。一个是代价高昂(加密传出数据和解密传入数据),另一个是它至少禁用了公共(public)缓存。
关于security - 通过http实现安全性的最佳方式是什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/761613/