Я намерен использовать SSL в форме входа, чтобы имя пользователя и пароль были зашифрованы при входе в систему.
Но после аутентификации пользователя, если я вернусь к HTTP, файл cookie проверки подлинности будет передаваться от клиента к серверу при каждом запросе. Насколько это безопасно? Очевидно, что я буду использовать SSL на страницах, где пользователь вводит конфиденциальную информацию, но в большинстве случаев по соображениям производительности я просто хочу, чтобы они оставались аутентифицированными и использовали HTTP.
Я отмечаю, что если я установлю RequSSL = "True" в разделе аутентификации форм в файле web.config, cookie-файл аутентификации не будет передан, если я использую HTTP, поэтому я не могу идентифицировать текущего пользователя.
Наверное, мой вопрос:
" Разве это плохая практика - устанавливать requireSSL =" false "и разрешать куки-файлу аутентификации проходить через HTTP "?