我的用户帐户和登录页面是SSL,但我网站的其余部分不是。有什么好处是我在做两个切换,使整个网站成为SSL?
答案 0 :(得分:2)
使用SSL会产生开销,但实际上它可能不会引起关注 - 正如this SO question中指出的那样。
您可以通过仅为那些增加价值的交易使用SSL来最小化开销,即您希望确保传输中数据的机密性和完整性。在许多情况下,这只是用户名和密码详细信息的情况,但是可能还有其他需要这些功能的交易。
答案 1 :(得分:1)
通常,一旦登录,会在客户端和服务器之间传递session-id。如果此cookie以明文形式发送(与非ssl请求/响应一样),则可以将其嗅探并用于输入用户的帐户而无需登录(session hijacking attack)。这是why google recently enabled 'always on https' for gmail。
答案 2 :(得分:0)
例如,在您要求用户提交其信用卡号的页面上使用ssl。不要在没有理由的情况下过度使用它。