Проблемы безопасности при перенаправлении с HTTPS на HTTP?

Question

Я читал в каком-то блоге ( извините, что не упомянул ссылку, но я больше не могу его найти ), что вы потеряете всю свою работу по защите своего сайта, если перенаправите пользователя с https страница на страницу http.

Итак, кто-то может объяснить мне, если я прав или нет, в следующем сценарии:

• Правильно ли использовать HTTPS на странице входа в систему, а затем перенаправить его на страницу администратора с http, или это создаст проблему безопасности, такую ​​как угон фиксации сеанса, кража сеанса и т. Д.? *

• Или я должен сохранить страницу администратора также в https?

Другая сторона вопроса: разрешит ли https кэширование статических файлов?

Я читал другие статьи здесь, но я все еще в замешательстве, так как некоторые говорят «да», а некоторые говорят «нет»; также некоторые говорят, что это зависит от браузера.

Answer 1

В вашем случае (только при защите страницы login с помощью HTTPS), когда данные для входа будут защищены (например, имя пользователя / пароль), ваши пользователи будут подвержены перехвату сеанса.

Независимо от того, используете ли выСмесь HTTP / HTTPS или полного HTTPS зависит от вашей ситуации.Amazon, например, будет использовать HTTPS для входа в систему, но вы будете просматривать сайт по HTTP, но как только вы перейдете в чувствительную область (экран сведений о заказе, измените данные учетной записи / пароля и т. Д.), Он переключится на HTTPS и запроситВы должны пройти повторную аутентификацию. Повторная аутентификация пользователя после переключения с HTTP на HTTPS является ключом для прекращения перехвата сеанса, потому что вы эффективно выпускаете новый токен сеанса. Так что, если пользователь украл токен сеанса, у него все равно нетваше имя пользователя / пароль и не может получить доступ к разделу вашей учетной записи.

Если область администратора особенно чувствительна, тогда просто HTTPS все это.Google обнаружил, что издержки от использования полного HTTPS были между 1-5% нагрузки на ЦП, практически ничего.

Что касается кэширования статических файлов на HTTPS, я не уверен, но этот пост предполагает, что это будеткэшировать как обычно Будет ли веб-браузер кэшировать содержимое через https

Answer 2

Все должно быть использовано с https.Если вы переключитесь на http, все смогут увидеть отправляемый контент, а это означает, что у вас появятся упомянутые проблемы безопасности.

Причина в том, что вам нужно идентифицировать клиента, чтобы назначить права доступа у администратора.сайт.Одна из возможностей сделать это - отправить обратно токен (некоторый хэш или что-то в этом роде).В зависимости от токена вы знаете, аутентифицирован ли это клиент или нет.Но все остальные видят эту проблему безопасности токена =>.

Конечно, вы можете использовать предыдущий сеанс https для обмена закрытым ключом.И используйте его для шифрования ваших http-материалов.Но это плохая идея, поскольку https делает это намного удобнее ..