Au lieu d'avoir juste un peu de sélectionner les pages pour un accès HTTPS, je pensais juste à l'aide de SSL pour l'ensemble de mon site.
Quels seraient les inconvénients?
Modifier Août 7, 2014
Google now facteurs en HTTPS pour classements, de sorte que vous devrait absolument utiliser SSL sur l'ensemble de votre site:
http://googleonlinesecurity.blogspot.com/2014/08/https-as-ranking-signal_6.html
Il est fortement recommandé d'utiliser ces jours pour exécuter l'ensemble du site sur TLS (https), si possible.
La surcharge préoccupation est une chose du passé, il n'est plus un problème avec les nouveaux protocoles TLS, car il est maintenant de maintien des sessions, et même la mise en cache de les réutiliser si le client met fin à la connexion. Dans les jours anciens, ce n'était pas le cas. Ce qui signifie qu'aujourd'hui, le seul temps que vous avez à faire à clé publique de chiffrement(le type de cpu lourds) est lors de l'établissement de la connexion. Donc, il n'y a pas vraiment d'inconvénients lorsque vous avez un cert de toute façon. Cela signifie que vous n'aurez pas à envoyer des gens en arrière-et-vient entre http et https, et les clients verrez toujours le verrouillage de signer dans leur navigateur.
Plus d'attention a été attirée sur ce sujet après la sortie de Firesheep. Comme vous avez peut-être entendu Firesheep est une extension Firefox qui vous permet de facilement (si vous êtes à la fois en utilisant le même réseau wifi ouvert) s'emparer des autres sessions sur des sites comme Facebook, Twitter, etc. Cela fonctionne parce que ces sites uniquement utiliser TLS de manière sélective, et ce ne serait pas un problème pour eux, si TLS est activé à l'échelle du site.
Donc, en conclusion, les inconvénients (par exemple l'ajout de l'utilisation de l'UC) sont négligeables avec l'état actuel de la technique, et les avantages sont clairs, afin de servir l'ensemble du contenu via SSL/TLS! C'est la façon d'aller ces jours-ci.
Edit: Comme mentionné dans d'autres réponses, un autre problème de servir du contenu d'un site (comme des images) sans SSL/TLS, c'est que les clients/utilisateurs d'obtenir une très ennuyeux "non sécurisé de contenu sur la page sécurisée de message".
Aussi, comme l'a déclaré thirtydot, vous devez rediriger les gens vers le site en https. Et vous pouvez même activer l'indicateur qui rend votre serveur nier non les connexions ssl.
Un autre edit: Comme l'a fait remarquer dans un commentaire ci-dessous, n'oubliez pas que SSL/TLS n'est pas la seule solution à tous de votre site sur les besoins en matière de sécurité, il y a encore beaucoup d'autres considérations, mais il n'résoudre quelques problèmes de sécurité pour les utilisateurs, et résout bien (Même si il y a des façons de faire un homme-dans-le-milieu, même avec SSL/TLS)
C'est une bonne idée de faire cela si possible, cependant, vous devriez:
Les inconvénients comprennent:
SSL n'a pas été conçu pour l'hébergement virtuel, en particulier de l'élastique type de nuage. Vous pouvez faire face à quelques difficultés si vous ne pouvez pas contrôler les noms d'hôte des serveurs web, et comment résoudre les adresses IP.
Mais, en général, que c'est une excellente idée, et si vous autorisez les utilisateurs à se connecter à votre site, presque une nécessité (comme indiqué par Firesheep).
Je dois aussi ajouter que je suis en train de faire. Je voudrais permettre de services sociaux de connexions (comme FaceBook), mais nous permettra également de stocker des informations de carte de crédit
Pour les pages où l'utilisateur peut consulter ses informations de carte de crédit, ou de faire des transactions financières, de mieux passer dans une authentification plus sécurisée mode. Facebook est une grande cible, et attire les pirates. Si quelqu'un Facebook compte est piraté, et ils peuvent ensuite dépenser de l'argent ou de réunir des informations de carte de crédit à partir de votre site, ce ne serait pas bon. L'acceptation sociale de service des connexions d'accès pour les non-critique stuff est très bien, mais pour la plus grave des parties de votre site, mieux exiger des mots de passe supplémentaires.
Il est fortement recommandé d'utiliser ces jours pour exécuter l'ensemble de la côte sur TLS
Il est fortement recommandé par certaines personnes.
Dans certaines circonstances (par exemple, beaucoup d'argent en jeu), il est logique de seulement mordre la balle et tout chiffrer; dans d'autres, les chances d'un attaquant d'intercepter un paquet en vol et de décider de détourner la session sont faibles et le montant du dommage qui pourrait en être fait est si petit, vous pouvez simplement aller de nus-dos, car il travail. (Pour exemple, cette session, celui que j'utilise pour poster cette réponse, est clair et j'ai vraiment, vraiment ne se soucient pas.)
Pour d'autres cas encore, vous pourriez offrir à vos utilisateurs un choix. Quelqu'un à l'aide d'une connexion câblée dans son propre sous-sol peut se faire une situation différente de quelqu'un en utilisant un réseau WiFi au Starbucks en face d'un Chapeau Noir de la convention.
Je suis en train de travailler sur un protocole et d'une bibliothèque pour vous permettre de signer des demandes XHR. L'idée est que l'ensemble du site devrait être mis en place sous forme de fichiers statiques en HTML, CSS et JavaScript, ce qui serait chargé à partir d'un CDN. L'application serait réalisée entièrement en JavaScript faire de l'AJAX et de la COMÈTE demandes. Toute demande doit être authentifiée, mais comme une question pratique, la plupart des demandes ne sont pas. J'ai fait plusieurs sites de cette façon, ils sont très, très évolutive.
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
