Avere un sito http carica il contenuto https - Approccio

Naviga le tue risposte
1

Il mio sito web è un sito web di sola informazione e tutte le informazioni su di esso sono disponibili per tutti coloro che visitano il sito. Non ci sono dati sensibili e sessioni utente \ accessi.

Il contenuto del mio sito http è disponibile sia su http che su https. Tutte le pagine del mio sito sono pagine http. Dobbiamo caricare il contenuto sul sito http da https . Ci è stato chiesto di eseguire un reindirizzamento forzato a https per tutti i reiki http. Ho le seguenti domande

1. Va bene avere contenuti su https e il sito su http. Ci sono problemi con questo approccio? È raccomandato?

2. Considerando che l'utente vede solo l'url 'http', l'utente pensa ancora che si trovi su un sito non sicuro. Questo non aiuta?

3. Sta facendo un reindirizzamento forzato per tutti gli URL http per attivare l'approccio giusto per questo?

4. La preoccupazione principale sollevata per avere il contenuto su https era che il traffico tra l'amministratore di contenuti e EPIserver CMS non era sicuro. Considerando che non ci sono dati sensibili, questo è un argomento valido? Ci sono altri problemi di sicurezza (ad esempio un utente malintenzionato può modificare il contenuto)?

5. Relativo alla query di cui sopra, va bene solo per avere la pagina di accesso al CMS su https?

6. Ci sono altre cose di cui ho bisogno di essere a conoscenza?

Qualche consiglio sulle query di cui sopra sarebbe davvero utile.

    
posta Chillax 04.08.2016 - 01:04
fonte

1 risposta

4

There is no sensitive data

Sei sicuro che i tuoi visitatori possano condividere la loro cronologia di navigazione? Le tue pagine web contengono qualcosa che potrebbero non voler condividere?

  1. Is it ok to have content on https and the site on http. Are there any issues with this approach? Is it recommended?

Se il tuo sito web presenta lo stesso contenuto con http e https, devi specificare una pagina canonica per il motore di ricerca per evitare problemi di contenuto duplicati: link

Se reindirizza http a https non devi preoccuparti di questo.

  1. Considering that the user sees only the 'http' url, the user still thinks he's on an unsafe site. That doesn't help?

Se la pagina principale è http, anche se tutte le risorse sono https, egli è su un sito Web non sicuro. Alcuni malintenzionati possono includere java dannoso o pagina di accesso fittizia o annunci:

link

link

  1. Is doing a force redirect for all the http urls to https the right approach for this?

Sì, è più sicuro reindirizzare sempre http a https. E meglio usare HSTS per prevenire sslstrip:

link

  1. Related to the query above, is it fine just to have the login page to the CMS over https?

No. È meno sicuro che avere https per tutte le pagine web: se hai solo la pagina di accesso con https, devi comunque proteggere i cookie delle sessioni: link ed è necessario proteggere le pagine Web che possono reindirizzare alla pagina di accesso: link e qualsiasi pagina web in cui il visitatore può aspettarsi una pagina di accesso. Quindi, l'unico modo sicuro per gestire un accesso, è usare https nell'intero dominio, con HSTS.

  1. Are there any other things I need to be aware of?
  • È più facile e più sicuro usare semplicemente https ovunque.
  • link link link
  • Hai accesso a più funzioni: link
risposta data 04.08.2016 - 17:59
fonte

Leggi altre domande sui tag

Nel contesto di un CVE, cosa significa "vettori non specificati"? Differenza tra una "Politica di sicurezza delle informazioni" e una "Strategia di sicurezza informatica"?