var
您好,欢迎访问景安网络旗下资讯网!
运营 建站 系统 数据库 编程

首页 > IDC资讯  >论全站采用Https的重要性

论全站采用Https的重要性

来源:景安IDC资讯作者:kk发布时间:2015-06-10点击:2274

安装过SSL证书的网站会通过以https开头的网址来访问网站,但由于全站采用https访问网站可能会让网站变慢增加用户等待时间,因此有不少安装过SSL证书的网站采用的是注册、登录等页面用https加密访问而其他网站页面则采用http访问,那么这样有没有什么不好之处呢?

安装过SSL证书的网站会通过以https开头的网址来访问网站,但由于全站采用https访问网站可能会让网站变慢增加用户等待时间,因此有不少安装过SSL证书的网站采用的是注册、登录等页面用https加密访问而其他网站页面则采用http访问,那么这样有没有什么不好之处呢?

情况一:从http页面跳转访问https页面

事实上,在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站,大多是从淘宝跳转过来,而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS,屏蔽跳转到 HTTPS 的页面访问,用 HTTP 取而代之,那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现 HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。

情况二:http页面重定向到https页面

有一些用户通过输网址访问的,他们输入了支付宝网址就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。

劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。

国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Always on SSL(全站https)技术措施来保证用户机密信息和交易安全,防止会话攻击和中间人攻击。

关键词: SSL证书,https

版权声明:本文系技术人员研究整理的智慧结晶,转载勿用于商业用途,并保留本文链接,侵权必究!

本文链接:https://www.zzidc.com:443/info/idczx/242.html

返回顶部