我正在管理一个Web应用程序,它根据页面在http和https之间动态翻转。我想摆脱用于在http和https之间翻转的大量额外代码,但我希望在继续之前理解任何含义。
使用http over https来提供网站的一部分是否有任何优势?
答案 0 :(得分:6)
当然使用https时会有一些性能下降,但除非您的服务器非常繁忙,否则它并不重要。参见
答案 1 :(得分:3)
HTTP不是一种安全协议,任何人都可以用明文拦截传输的数据(例如会话cookie,密码,信用卡号码,性迷信)。如果可以,您应该始终提供一致的HTTPS服务。
也就是说,通过公钥/私钥安全性的设计,您只能在完全唯一控制IP地址的服务器上使用HTTPS,因为客户端首先查找IP地址,然后请求安全协议,只有然后进行HTTP查询。这意味着您无法在虚拟主机(共享主机)上部署HTTPS。
(因为您已经有了部分HTTPS解决方案,但我认为这对您来说不是问题。)
另一个缺点是安全握手和后来的加密需要计算资源,因此如果你有大量的连接,你可能会对服务器性能产生很大影响。不过,那是你要考虑的。
简短形式:如果您拥有专用的IP地址和足够的计算资源,请始终使用HTTPS。
答案 2 :(得分:3)
使用http比https更快,因为在连接建立期间没有ssl握手开销或额外的加密/解密延迟。
如果您只需要网站的部分是安全的,例如只是加密登录凭据,然后有重定向的代码是有意义的,以便之后的交互由于纯文本http更快。
如果您网站的许多区域需要安全,那么您可以完全使用https进行测量,并查看性能是否受到严重影响。
如果您没有发现重大性能问题(或性能可接受),那么您可以简化软件设计并删除http< - > https之间的重定向逻辑,并在任何地方使用https。
答案 3 :(得分:0)
HTTP和HTTPS之间的区别之一是,使用HTTPS,您无法让客户端和服务器之间的中介(缓存,代理等)对请求和响应执行任何有用的操作,因为内容已加密。从安全的角度来看,这是一件好事,因为它可以防止中间人窥探或篡改流量。另一方面,您减少了处理可伸缩性,性能和可演化性等问题的机会。