有许多stackoverflow答案说你不应该把你的登录表单放在HTTP页面上,但总是使用HTTPS。但是我看到许多大型网站都会这样做,例如The New York Times。如果我的网站上没有任何有价值的信息,这样做是否可以?没有涉及交易,也没有私人信息。它相当于博客或新闻网站。我真的很想在首页上用“纽约时报”这样的方框签名用户。
答案 0 :(得分:3)
不,不行。
如果您的用户重复使用相同的密码,则可能会损害更重要的帐户
因为它不安全,Firefox在控制台日志中警告它不安全。
如果您想在首页登录,为什么不在任何地方使用https?它比http更容易配置,速度更快(使用spdy / http2),并且你确定没有人在你的网站上插入广告(某些ISP比http更多...)
并且,登录/密码是个人信息。在大多数国家,如欧洲,您有义务提供保护。
关于纽约时报,是的,他们确实使用http,但是大型网站迁移更难。但是,是的,他们应该使用https。
请注意,单靠https是不够的:您的网站可能仍然容易受到sslstrip攻击。在询问密码或个人信息时,您应该使用HSTS,这是防止该攻击的唯一保护。(它将强制执行https连接,但为此您必须为整个域激活https)