https логин

Question

Что я должен учитывать при переключении простой (user + pass) формы входа с http на https? Есть ли различия при использовании https по сравнению с http?

Из того, что я знаю, браузер не будет кэшировать контент-сервер через https, поэтому загрузка страницы может быть медленнее, но, кроме того, я ничего не знаю об этом.

Кто-нибудь имеет опыт работы с этими вещами?

Answer 1

Не смешивайте безопасный и незащищенный контент на одном сайте, так как браузеры будут отображать раздражающие предупреждения, если вы это сделаете.

Кроме того, установите файлы cookie только для https, когда пользователи используют https, чтобы они никогда не отправлялись через соединение http.

Answer 2

При переключении на https учтите, что ВСЕ веб-ресурсы (изображения, js, css) должны поступать из домена https, в противном случае ваш пользователь получит предупреждения о небезопасной передаче данных. Если у вас есть жестко закодированные URL-адреса, вам нужно динамически изменить их на https.

Answer 3

Я бы добавил, что вы предпочитаете отправлять свои параметры URL-адреса по почте, а не получать, иначе вы можете оставлять личные данные повсюду в лог-файлах, окнах браузера и т. Д.

Answer 4

Из того, что я знаю, браузер не будет кэшировать контент-сервер через https

При условии, что вы отправляете инструкции кэширования в заголовках, тогда клиент все равно должен кэшировать контент (MSIE действительно имеетотключите его, чтобы отключить кэширование для HTTPS - но по умолчанию включено кэширование, вероятно, Firefox имеет аналогичное значение.

Время, необходимое для переворачивания страницы, будет выше - и намного больше будет зависеть от задержки сети из-за дополнительныхиздержки рукопожатия SSL (после согласования шифрования накладные расходы не так уж и велики, но в зависимости от вашего веб-сервера и его конфигурации вы, вероятно, не сможете использовать KeepAlives с MSIE).

Конечно, естьне будет никакой разницы с вашим кодом PHP.

C.

Answer 5

Уровень безопасности реализован в веб-сервере (например, Apache), а ваш логин - в бизнес-логике (ваше приложение).

Нет никакой разницы в том, что ваша бизнес-логика использует http или https, к тому времени, как вы получите запрос, он будет таким же, потому что вы получите его расшифрованный. Веб-сервер делает грязную работу за вас.

Как вы говорите, это может быть немного медленнее, потому что веб-сервер должен шифровать / дешифровать запросы.

Как говорит Бен, все ресурсы должны поступать из защищенного домена, в противном случае некоторые браузеры действительно раздражают (например, IE) предупреждениями.