1. casa
  2. Domanda e risposta
  3. C'è qualche motivo per non pubblicare il contenuto https su una pagina pubblicata su http?

C'è qualche motivo per non pubblicare il contenuto https su una pagina pubblicata su http?

2012-05-17 11 views
12

Attualmente il contenuto delle immagini viene pubblicato su un dominio accessibile solo tramite https. Qual è il rovescio della medaglia di servire un'immagine con un percorso https su una pagina a cui si accede tramite http? Ci sono considerazioni sulla memorizzazione nella cache? Sto usando un oggetto HttpRuntime.Cache per memorizzare il percorso assoluto dell'immagine, che viene recuperato da un database.C'è qualche motivo per non pubblicare il contenuto https su una pagina pubblicata su http?

  • presumo non v'è alcun vantaggio di utilizzare gli URL relativi a protocollo se l'immagine è accessibile solo tramite HTTPS?

  • C'è un motivo valido per cui dovrei impostare una directory virtuale separata per servire anche il contenuto dell'immagine su http?

fonte

2012-05-17 Mac

risposta

10

  • Se il contenuto servito tramite HTTPS all'interno della pagina HTTP non è particolarmente sensibile e si potrebbe anche essere servito su HTTP, non v'è alcun aspetto negativo (forse alcuni problemi di prestazioni, not necessarily much, e la mancanza di caching, a seconda di come è configurato il tuo server: puoi mettere in cache alcuni contenuti HTTPS).

  • Se il server di contenuti su HTTPS è sufficientemente sensibile per motivare l'utilizzo di HTTPS, questa è una pratica davvero negativa.

    Controllare che HTTPS sia utilizzato e utilizzato correttamente è di esclusiva responsabilità del cliente e del suo utente (questo è il motivo per cui automatic redirections from HTTP to HTTPS are only partly useful, ad esempio). Anche se alcuni di essi ha a che fare con gli aspetti tecnici di verifica del certificato, un sacco di sicurezza offerto da HTTPS deriva dal fatto che l'utente:

    1. si aspetta di essere tramite HTTPS (altrimenti potrebbero facilmente essere declassate),
    2. è in grado di verificare la validità del certificato: barra verde/blu, corrispondente al nome host su cui si aspettano di essere.

    Il primo punto può essere risolto da HTTP Strict Transport Security, da un punto di vista tecnico.

    Il secondo ha bisogno dell'interazione utilizzata. Se vai sul sito web della tua banca, non deve essere solo un sito con un certificato valido, ma devi anche controllare che sia il nome di dominio della tua banca, ad esempio.

    L'incorporamento del contenuto HTTPS in una pagina HTTP lo impedisce, poiché l'utente non può controllare quale sito viene utilizzato e che HTTPS viene utilizzato di fatto. In una certa misura, l'incorporamento di contenuti HTTPS da una terza parte in una pagina HTTPS presenta anche questo problema (questo è uno dei problemi con 3-D Secure, che potrebbe essere servito tramite HTTPS, ma l'utilizzo di un iframe non rende il sito effettivamente utilizzato visibile.)

fonte

2012-05-17 18:32:23 Bruno

+0

Potresti elaborare il caching? Il caching/performance è la mia preoccupazione principale. Il contenuto non è sensibile. Ho la rotazione del contenuto gestito attraverso un database e molte visualizzazioni di pagina, quindi il caching è importante. A parte il "leggero sovraccarico" causato dal servizio di contenuto https, si verificheranno comportamenti di memorizzazione nella cache imprevisti? – Mac

+0

Usa 'Cache-Control: public'. – Bruno

+0

Le tue considerazioni sono state utili. Grazie! – Mac

Problemi correlati

 Problemi correlati