Должен ли я использовать SSL на всех веб-страницах или только на некоторых страницах учетной записи?

Question

Моя учетная запись пользователя и страницы входа являются SSL, но остальная часть моего сайта - нет. Какая польза от переключения между ними, когда я занимаюсь созданием SSL для всего сайта?

Answer 1

Использование SSL связано с дополнительными затратами, хотя на самом деле это может не вызывать беспокойства - как указано в этом вопросе SO .

Вы можете минимизировать накладные расходы, используя SSL только для тех транзакций, в которых это повышает ценность, т. Е. Где вы хотите обеспечить конфиденциальность и целостность передаваемых данных. Во многих случаях это касается только имени пользователя и пароля, однако могут быть и другие транзакции, в которых вам также нужны эти функции.

Answer 2

В общем, после входа в систему идентификатор сеанса передается между клиентом и сервером. если этот файл cookie отправляется в виде открытого текста (как в случае запросов / ответов, не относящихся к ssl), его можно прослушать и использовать для входа в учетную запись пользователя без необходимости входа в систему ( атака захвата сеанса ). Это , почему Google недавно включил «всегда на https» для Gmail .

Answer 3

Используйте ssl на страницах, где вы просите пользователя ввести номер своей кредитной карты, например.Не злоупотребляйте этим без достаточных причин.