已登录用户的SSL？

Question

对于提供免费内容和付费内容（当用户登录时）的网站，它是否应该通过SSL（即https）运行？

更重要的是，除了注册页面以外的页面，有时候会有像Facebook这样的内容，第三方横幅等等。当我在各种浏览器中查看这些页面时，我会收到警告，提示页面不完整因为有些内容是不受保护的。

有没有这方面的标准，原因是什么？

我注意到，例如，Gmail会保留它通过HTTPS而Facebook选择采用HTTP ...

Answer 1

关于第一个问题：您应该考虑为您的网站使用HTTPS进行用户身份验证及其用法，因为大多数身份验证方法（通常基于Cookie，会话ID在URL或HTTP Basic中）都会传输身份验证标记（例如cookie）否则将被清除。因此，窃听者可以通过为自己重新使用session-ID/cookie来冒充认证用户。这种攻击已经存在了很长一段时间，但Firesheep等工具与使用未受保护的（可能是公共的）WiFi网络相结合使得这种攻击非常实用。

关于第二个问题：您会看到混合内容的警告，即通过HTTPS提供的页面，这些页面嵌入了来自HTTP站点的内容。如果您使用的是安全Cookie，则您的身份验证令牌（位于Cookie中）不应泄漏到网页上嵌入的未受保护的内容中......但是，使用这些信息是不可能的。教导用户忽略警告通常是不好的做法。 如果这是您的内容，请打开HTTPS。如果是别人的，并且他们没有HTTPS访问权限，那么这有点棘手。一种解决方案可能是通过你的网站转发他们的内容（但你需要重写他们的链接等）。

一如既往，这是风险评估的问题。实际上，您可以通过HTTPS使用Facebook（通过明确输入https://）。由于posting on Facebook can have you sent to prison，你不想让任何人冒充你。

有些网站不启用HTTPS，因为它被认为是昂贵的，其中isn't necessarily true（服务器名称指示和共享主机的XP兼容性也是一个问题，如本文中详述）。

Answer 2

SSL的计算成本高昂;通过SSL提供页面服务会让您的网站变慢一点（特别是流量很大）。 （您可以通过购买单独的SSL硬件来替换计算费用与财务费用）

Gmail在SSL下提供所有服务，因为他们认为您的所有电子邮件内容都是保密的。
基本上，他们认为电子邮件需要比Facebook更安全。