Что следует учитывать при переключении простейшей (пользовательской + проездной) формы входа с http на https? Существуют ли какие-либо различия при использовании https по сравнению с http?https login form
Из того, что я знаю, браузер не будет кэшировать сервер содержимого через https, поэтому загрузка страницы может быть медленнее, но другая, что я ничего не знаю об этом.
У кого-нибудь есть опыт в этом?
Не смешивайте безопасный и незащищенный контент на том же сайте, что и браузеры будут вызывать раздражающие предупреждения, если вы это сделаете.
Кроме того, установите cookie как https-only, когда пользователи используют https, чтобы они никогда не отправлялись через http-соединение.
При переходе на https считают, что ВСЕ веб-ресурсы (изображения, js, css) должны поступать из домена https, иначе ваш пользователь получит предупреждения о небезопасной передаче данных. Если у вас есть жесткие кодированные URL-адреса, вам необходимо динамически их изменить на https.
Уровень безопасности реализован на веб-сервере (например, Apache), а ваш логин реализован в бизнес-логике (ваше приложение).
Нет никакой разницы в том, что ваша бизнес-логика может использовать http или https, к тому времени, как вы получите запрос, это будет то же самое, потому что вы получите ее расшифровку. Веб-сервер выполняет грязную работу для вас.
Как вы говорите, это может быть немного медленнее, потому что веб-сервер должен шифровать/расшифровывать запросы.
Как говорит Бен, все ресурсы должны поступать из защищенного домена, в противном случае некоторые браузеры действительно раздражают (например, IE) с предупреждениями.
Настройка файлов cookie как https-only выполняется только «бизнес-слоем», а не веб-сервером ... – ThiefMaster
Я хотел бы добавить, что вы должны предпочесть, чтобы отправить параметры URL по почте, а не получить, в противном случае вы можете оставить личные данные повсюду в логах, окна браузера и т.д.
От чего я знаю, браузер не будет кэшировать контент-сервера через HTTPS
при условии отправки инструкций кэширования в заголовках, то клиент должен по-прежнему кэшировать содержимое (MSIE имеет переключатель спрятано, чтобы отключить кэширование для HTTPS - но он по умолчанию к кешированию включено, Firefox, вероятно, имеет аналогичный).
Время, затрачиваемое на поворот страницы, будет выше - и намного больше зависит от латентности сети из-за дополнительных накладных расходов на подтверждение SSL (как только шифрование было согласовано, накладные расходы не так много, но в зависимости от вашего веб-сервера и как его настроить, вы, вероятно, не сможете использовать KeepAlives с MSIE).
Конечно, не будет никакой разницы с вашим PHP-кодом.
C.
yep, то же самое касается внешних ссылок с переадресацией какого-либо вида. – eugeneK