it-swarm.asia

HTTPS للموقع بأكمله

أنا أعمل على موقع ويب قياسي إلى حد ما مع محتوى عام بالإضافة إلى محتوى شخصي/مخصص للمستخدمين المسجلين. أعلم أنني بحاجة إلى استخدام HTTPS عندما يقوم المستخدمون بتسجيل الدخول أو إرسال تفاصيل بطاقة الائتمان. هل هناك سبب يمنعني من استخدام HTTPS للموقع بأكمله؟

10
BenV

نعم ، هناك سبب يجب عليك عدم استخدامه للموقع بالكامل. لن تقوم بعض المتصفحات (اعتمادًا على العلامة التجارية والإصدار) بتخزين محتوى مؤقت من طلبات HTTPS إلى القرص ، مما قد يؤدي إلى إبطاء تجربة التصفح للمستخدمين بشكل خطير ، حيث سيتم تحميل الأصول الثابتة مع كل طلب صفحة (أوراق الأنماط وجافا سكريبت وصور الرأس وما إلى ذلك) . على سبيل المثال ، الولايات موزيلا أن:

"يحفظ التخزين المؤقت للقرص نسخًا من الملفات التي تم تنزيلها على القرص الصلب حتى لا تحتاج إلى إعادة تنزيلها. يمكن عرض هذه الصفحات من قبل أي شخص بإذن إلى مجلد ذاكرة التخزين المؤقت. تحتوي الصفحات المنقولة بتشفير طبقة المقابس الآمنة على معلومات حساسة و قد يمثل التخزين المؤقت لهذه الصفحات على القرص مخاطرة في الخصوصية. هذا التفضيل يتحكم في ما إذا كان سيتم التخزين المؤقت على صفحات القرص التي تم إرسالها باستخدام تشفير SSL. "

كيف تقوم المستعرضات الفردية بتخزين HTTPS --- متنازع عليها إلى حد ما ولكن لا تزال هناك فرصة جيدة لأن يكون لدى العديد من المستخدمين تعطيل التخزين المؤقت على القرص لطلبات HTTPS.

ثانياً ، تتطلب HTTPS " مصافحة " لكل طلب ، ويأتي ذلك مع بعض النفقات العامة ، مما سيؤثر في الأداء ويزيد من الطلبات (عادةً فقط ببضعة كيلوبايت - لكنه لكل طلب وهذا يضيف ما يصل ). HTTP KeepAlive يمكن أن يحد من ذلك ، لكنه لا يزال حمولة لا تحتاجها للمحتوى غير الآمن.

12
Dan Diplo

إذا كنت تخطط لتشغيل طبقة مآخذ توصيل آمنة (SSL) كاملة ، فتأكد من أن أي من خدمات الطرف الثالث المستضافة التي تستخدمها (خادم الإعلانات ، التحليلات ، أدوات المشاركة ، إلخ) لديها إصدارات طبقة المقابس الآمنة ، أو ستحصل على تحذيرات مختلطة من المحتوى في بعض المتصفحات.

10
JasonBirch

مشكلة أخرى هي أن كل شيء تخدمه من أي الصفحة ثم تحتاج حقاً إلى الذهاب عبر SSL ، بما في ذلك موارد الطرف الثالث. لقد وجدنا أن هذه مشكلة حقيقية في شيء مثل YouTube ، على سبيل المثال. نظرًا لأن Google لا تجعل مقاطع فيديو YouTube متاحة عبر طبقة المقابس الآمنة ، فهذا يعني أن أي مقطع فيديو على YouTube أنت تفعله تريد تضمينه في صفحة على موقعك سيتسبب في "تحتوي هذه الصفحة على محتوى آمن وغير آمن" تحذير. في حين أن هذا أمر خفي في معظم المتصفحات ، إلا أنه مربع حوار ضخم في IE ويمكن أن يتسبب في تخلي بعض المستخدمين عن موقعك بسرعة كبيرة ، حيث يتم تجميع بياناتهم في صندوقهم في خوف.

5
Bobby Jack

يجب عليك أيضا التفكير في النمو. بمجرد حصولك على أكثر من خادم ويب واحد ، يجب أن تقرر ما يلي: هل ترغب في توفير HTTPS على كل خادم فردي ، وإذا كان الأمر كذلك ، فهل ستستخدم نفس الشهادة أو شهادة لكل خادم كما هو موصى به غالبًا. لقد رأيت المزيد من الإعدادات الشائعة حيث يوجد عدد أقل من خوادم HTTPS حيث إنها تستخدم عمومًا فقط لمعالجة التفاصيل الحساسة والمزيد من خوادم HTTP لأن هذه الأجهزة تميل إلى استقبال الجزء الأكبر من عدد الزيارات. يضيف HTTPS مزيدًا من التعقيد إلى كل من إعداداتك. مجرد شيء أن نأخذ في الاعتبار.

2
gabe.

كما أراها ، فإن السبب الوحيد لعدم استخدام HTTPS على موقعك بالكامل هو أنه سيؤدي إلى إبطاء الخادم الخاص بك وبعض الزائرين لديهم تجربة تصفح أبطأ قليلاً. أن يقال ، هناك فوائد. على وجه التحديد:

  1. لن تقلق أبدًا بشأن وضع البيانات التي تريد الحفاظ عليها آمنة في أي صفحة من صفحات موقعك. لا يمكنك أن تنسى.
  2. سوف يلاحظ المستخدمون أن موقعك مشفر بالكامل وقد يشعرون بمزيد من الأمان في إعطائك معلوماتهم.
  3. يعرف المستخدمون أن موقع الويب الخاص بك يخص شركتك ولم يتم الاستيلاء عليه.

بالإضافة إلى تسهيل الأمر بالنسبة للمطورين لديك لعدم القلق بشأن عرض بيانات آمنة على صفحة غير مشفرة ، لا يوجد بالفعل تقني سبب لاستخدام HTTPS في كل صفحة. من نفس المنطق ، هناك سبب وجيه جدا لعدم.

1
Ben Hoffman

أخيرًا وليس آخرًا ، لا يحب العديد من أصحاب العمل تصفح مواقعهم على مواقع https "المشفرة". هذا هو حال شركات ومنظمات الدفاع/الأمن ، لذا إذا كان لديك موقع "https فقط" ، فقد تفقد بعض هؤلاء الزوار/العملاء ، لأن شبكتهم ببساطة لن تسمح لهم باستعراض موقعك.

0
Radek