我最近在浏览当前网站主机提供的一些功能,现在我想知道一些事情。即使您只能回答其中的一部分,我也感谢您提供的任何帮助。
我有一个域名mydomian.com,主机提供共享SSL,因此我可以使用此地址https://mydomain.myhost.com来使用HTTPS。 SSL证书适用于* .myhost.com。
我对SSL知之甚少,但我认为这意味着网站用户和myhost.com上的任何域之间的数据都是加密的。所以很奇怪,如果这意味着如果与我在同一主机上的其他人以某种方式拦截了我网站上的数据他们能够查看它,因为他们也会有一个https://theirdomain.myhost.com地址,它使用相同的SSL证书?我可能根本不知道,这几乎是猜测。
如果在登录页面上使用HTTPS,但登录后通过HTTP查看其他页面,这是安全问题吗?
有没有办法通过HTTP为谷歌等机器人显示网页表单,但真实用户是否重定向到HTTPS版本?如果可以通过.htaccess完成,那将是理想的。我目前有一些重写规则将某些页面重定向到HTTPS,但其余的重定向为HTTP。因此,如果访问者访问联系表单,他们会自动获得HTTPS版本,但对于不包含表单的页面,它会自动切换回HTTP。那么,通过htaccess,有没有办法将真实用户引导到HTTPS版本,但有机器人指向HTTP版本?我希望这些页面仍被搜索引擎编入索引,但希望用户通过HTTPS查看。
提前感谢您提供的任何帮助。
答案 0 :(得分:4)
我猜你会对第一名没问题。如果您的主机正确执行,则各个子域永远不会看到SSL密钥。以下是它的工作原理:
您发回的任何HTTPS响应都会反过来执行该过程。应该很容易检查他们是否已经设置了这样的方式:如果您可以设置共享SSL而无需亲自处理任何密钥文件,那么您就是好的。如果你真的拿到了一些关键文件......那就不好了。
对于两个:如果你加密登录,你保护密码,这是好的。但是如果你之后切换回HTTP,你可以打开自己的其他攻击。见:Firesheep。可能还有其他人。
三个人。是的 - 绝对可行。查看mod_rewrite。不能举个例子,因为我从未使用过这个特例,但我可以指向this page - 尤其是标题为“浏览器依赖内容”的部分。
希望有所帮助!
答案 1 :(得分:1)