Jump to content

Https доступ


mikhan

Recommended Posts

  • 2 weeks later...

Давно думал над этим, даже смотрел реализацию, но есть сложности. Нужно покупать сертификат, иначе браузер будет ругаться красным цветом. Кроме того, придется делать две версии: с SSL и без, т.к. сажать всех на него не стоит - больше ресурсных затрат и медленнее отклик. А с дублированием не все так просто технически.

Link to comment

кажется что сайт быстрее работать стал)

соединение защищенное только в момент передачи данных?

Добавлено спустя 4 минуты 55 секунд:

да нее, реально быстрее работает)

Link to comment
соединение защищенное только в момент передачи данных?
Не совсем понимаю вопроса. Ну по сути да :) А когда оно еще может быть защищенным?

Насчет быстрее не знаю. Наоброт должно чуть медленнее из-за нагрузки от шифрования :)

Link to comment

Я вот когда перехожу по ссылке у меня в строке появляется "Безопасный". Опера.

а в остальное время незащищенное соединение.

просто бывает же что там постоянно "Защищенное".

В общем я в этом деле не спец, но работает всё быстро.

Link to comment

aspirin, че-то с Оперой действительно странно. Наверно это потому, что Опера не отрубает сторонние флэши всякие. Если в Хроме тоже их разрешить, значок с зеленого сменится на серый, дескать, зашифровано, но есть небезопасные элементы на странице. Впрочем, эти небезопасные элементы никак на шифрование трафика не влияют, и можно разрешить.

Link to comment

superman, да, вы правы. В настройках движка есть опция, включающая безопасные куки. Если ее включить, весь сайт переводится на SSL, что нам, во-первых, не нужно, во-вторых, вызывает разлогин при переходе по ссылкам без https.

Очевидно, для тех, кто хочет пользоваться SSL-соединением, нужно будет дописывать какой-то свой костыль, который при логине будет ставить безопасные куки только им, но в то же время остается проблема с разлогином. Мысли вертятся в сторону htaccess. Если у кого есть мысли, предлагайте.

Добавлено спустя 10 минут 21 секунду:

Хотя может и не совсем правы... Если заходить на сайт изначально по SSL, то все взаимодействие, если я не ошибаюсь, идет по защищенному каналу до тех пор, пока вы не обратитесь к сайту по обычному адресу http://. Раз куки обычные, а не защищенные, то они прекрасно отдадутся по незащищенному соединению - разлогина не произойдет, но теоретическая утечка их возможна.

Link to comment
но теоретическая утечка их возможна.

Примерно это и пытался донести.

Только я бы сказал не теоретическая утечка их возможна, а скорее смысла в https при таком раскладе мало. Ведь хоть куки и отправятся по зашифрованному соединению при запросе самой страницы и прочих ресурсов, паралелльно они же будут отправлены открыто по http при запросе картинок.

Решение думаю самое простое такое: дописать в парсер BB-кода замену протокола картинки на "://" вместо "http://", если картинка расположена на сервере улановки (таким образом кто пришел по https - получат ее по зашифрованному соединению, а кто по http - получат по http).

Еще есть вариант хранить картинки на другом домене (либо поддомене, но тогда нужно сам форум на отдельный поддомен).

Link to comment

Поковырялся в коде. Включил обращение к скрипту логина из формы логина по SSL (login.php), да бы пароль не отдавался в открытом виде. Это для всех.

Проверил в снифеере. Вроде работает. Просьба затестить, кто разбирается.

Понятно, что и сама форма логина желательно, чтобы была отдана по SSL во избежание ее подмены по пути, но грузить всем индексную по SSL не хочется, а убирать форму логина с главной тем более. В любом случае, если мои измышления верны, сейчас получить пароль в чистом виде при перехвате трафика уже гораздо проблематичнее.

Link to comment

Sargo, разумеется. Как и на любом сайте, в адресной строке которого нет https://. Привет VK.com, Mail.ru *30

Подумал тут, и пришла в голову идея, как решить проблему с картинками. Тем, кто логинится в SSL, выдавать защищенные куки, которые попросту не будут отдаваться по незащищенному каналу, таким образом, вставленные картинки угрозы нести не будут. Единственной проблемой в таком случае остается написание авторедиректа для ссылок на незащищенные страницы форума. Но это уже гораздо проще.

Поправьте, если ошибаюсь.

Link to comment

ничего странного. Всегда так было и есть. Поэтому серфинг в открытых ,например вайфай, сетях, без должного уровня защиты как стороны юзера, так и владельца сети, подвергает офигенному риску персональные данные.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...