1. Zuhause
  2. Frage und Antwort
  3. Good Practice oder schlechte Übung, um die gesamte Site auf HTTPS zu erzwingen?

Good Practice oder schlechte Übung, um die gesamte Site auf HTTPS zu erzwingen?

2009-06-12 6 views
5

Ich habe eine Website, die sehr gut funktioniert, wenn alles in HTTPS (Authentifizierung, Webdienste usw.) ist. Wenn ich http und https mische, erfordert es mehr Codierung (domänenübergreifende Probleme).Good Practice oder schlechte Übung, um die gesamte Site auf HTTPS zu erzwingen?

Ich sehe nicht viele Websites, die vollständig in HTTPS sind, also habe ich mich gefragt, ob es eine schlechte Idee war, auf diese Weise zu gehen?

bearbeiten: Site ist auf Azure Cloud gehostet werden, in denen Bandbreite und CPU-Auslastung könnte ein Problem sein ...

Quelle

2009-06-12 vidalsasoon

Antwort

3

Wenn Sie keine Nebenwirkungen haben, dann sind Sie wahrscheinlich in Ordnung und vielleicht glücklich, keine Arbeit zu schaffen, wo es nicht benötigt wird.

Es gibt jedoch wenig Grund, all Ihren Datenverkehr zu verschlüsseln. Sicherlich Anmeldeinformationen oder andere sensible Daten tun. Eines der wichtigsten Dinge, die Sie verlieren würden, ist Downstream-Caching. Ihre Server, die zwischengeschalteten ISPs und Benutzer können die https nicht zwischenspeichern. Dies ist möglicherweise nicht vollständig relevant, da es heißt, dass Sie nur Dienste bereitstellen. Es hängt jedoch vollständig von Ihrer Konfiguration ab und davon, ob eine Zwischenspeicherung möglich ist und ob die Leistung überhaupt ein Problem darstellt.

Quelle

2009-06-12 15:26:02 dove

+0

Danke, wusste nicht über das Caching. Caching könnte für mich auf meiner Hauptseite sehr wichtig sein, da aus dem Service Binärdaten geladen werden. – vidalsasoon

4

HTTPS verringert Server Durchsatz so kann eine schlechte Idee, wenn Ihre Hardware nicht mit ihm fertig wird. Sie könnten this post useful finden. Dieses Papier (akademisch) diskutiert auch the overhead of HTTPS.

Quelle

2009-06-12 15:22:38 RichardOD

+1

Der Link zur wissenschaftlichen Arbeit ist tot. Könnten Sie einen Live-Titel oder nur den Titel des Papiers posten? Schön bitte? – hannson

+1

Deshalb liebe ich die WayBackMachine wirklich! https://web.archive.org/web/20100215150018/http://iweb.tntech.edu/hexb/publications/https-STAR-03122003.pdf – Hath1

5

verlieren Sie eine Menge Features mit https (vor allem leistungsbezogen)

  • Proxies können nicht Cache-Seiten
  • Sie können nicht einen Reverse-Proxy zur Leistungsverbesserung
  • Sie können mehrere Domains auf die nicht Host gleiche IP-Adresse
  • Offensichtlich verbraucht die Verschlüsselung CPU

Vielleicht Neins Problem für Sie, aber es hängt wirklich von den Anforderungen

Quelle

2009-06-12 15:23:57 chris166

+0

Web-Browser wird auch keinen Inhalt zwischenspeichern. – BacMan

+3

Sie können einen Reverseproxy mit https verwenden, wenn der Reverseproxy https mit dem Client und Plain http mit den Backendservern kommuniziert. – dave4420

+4

Web-Browser dotieren HTTPS-Inhalt. Das Caching-Verhalten hängt nur vom Cache-Control-Header ab. Normalerweise, wenn HTTPS für Transaktionen, Bankwesen usw. verwendet wird, ist das Cache-Steuerelement auf 'no-cache' gesetzt. – chris166

4

Wenn Sie HTTP-Anforderungen von einer HTTPS-Seite kommen, zwingen Sie den Benutzer das Laden von unsicheren Daten zu bestätigen. Nervig auf einigen Websites, die ich benutze.

Quelle

2009-06-12 15:24:58

+1

Nur um das etwas zu verdeutlichen: Wenn Sie Bilder von einer anderen URL (zB einem Content- oder Image-Server) anzeigen, die selbst nicht verschlüsselt sind (zB http://myimageserver.com/Image.jpg), wird der Browser dies tun Öffnen Sie eine Warnung, dass einige Teile der Seite nicht verschlüsselt sind. –

1

Ich hasse es, in sinnlos alle-https-Sites, die nichts behandeln, die wirklich Verschlüsselung erfordert. Hauptsächlich weil sie alle 10x langsamer sind als jede andere Seite, die ich besuche. Wie die meisten Dokumentationsseiten auf developer.mozilla.org werden Sie gezwungen, es mit https zu betrachten, ohne Grund, und es dauert immer lange, es zu laden.

Quelle

2009-06-12 15:57:14 David

+2

Ja, ich hasse Websites, die sich darum kümmern, mein Web-Browsing vor neugierigen Blicken zu schützen ... –

3

Es ist eine gute Idee, all-HTTPS zu verwenden - oder zumindest erfahrenen Benutzern die Option für alle HTTPS bereitzustellen.

Wenn es Fälle gibt, in denen HTTPS völlig nutzlos ist und Sie in diesen Fällen feststellen, dass die Leistung beeinträchtigt ist, dann würden Sie standardmäßig nicht HTTPS zulassen oder zulassen.

Quelle

2009-11-03 17:38:31 yfeldblum

Verwandte Themen

 Verwandte Themen