是否有任何理由不在通过http提供的页面上提供https内容?

时间:2012-05-17 18:04:29

标签: security https

我目前在只能通过https访问的域上提供图像内容。在通过http访问的页面上使用https路径提供图像的缺点是什么?有任何缓存注意事项吗?我正在使用HttpRuntime.Cache对象来存储从数据库中检索的绝对图像路径。

  • 我认为如果图片只能通过https访问,那么使用协议相对网址没有任何好处吗?

  • 为什么我应该设置一个单独的虚拟目录以通过http提供图像内容?

  • 是否有令人信服的理由?

1 个答案:

答案 0 :(得分:10)

  • 如果在HTTP页面中通过HTTPS提供的内容不是特别敏感,并且同样可以通过HTTP提供,则没有任何缺点(可能是一些性能问题,not necessarily much和缺少缓存,取决于服务器的配置方式:您可以缓存一些HTTPS内容。)

  • 如果基于HTTPS的内容服务器足够敏感以激励使用HTTPS,那么这是非常糟糕的做法。

    检查HTTPS是否正确使用和使用完全由客户及其用户负责(例如,这就是automatic redirections from HTTP to HTTPS are only partly useful的原因)。虽然其中一些与证书验证的技术性有关,但HTTPS提供的许多安全性来自用户的事实:

    1. 希望使用HTTPS(否则很容易降级),
    2. 能够验证证书的有效性:绿色/蓝色条,对应于它们所期望的主机名。
    3. 从技术角度来看,HTTP严格传输安全可以解决第一点。

      第二个需要使用的互动。如果您访问银行的网站,它不仅必须是具有有效证书的网站,而且您还应该检查它确实是您银行的域名,例如。

      在HTTP页面中嵌入HTTPS内容会使此失败,因为用户无法检查正在使用的站点,并且实际上根本使用了HTTPS。在某种程度上,在HTTPS页面中嵌入来自第三方的HTTPS内容也会出现此问题(这是3-D Secure的问题之一,可能使用HTTPS提供,但使用iframe不会产生哪些问题网站实际上是可见的。)