Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
yakczh
V2EX  ›  程序员

如果网站只是登录用了 https 但是其他功能还是 http 这样有没有安全问题?

  •   
  •   yakczh · Aug 23, 2014 · 4094 views
    This topic created in 4299 days ago, the information mentioned may be changed or developed.
  • 录用
  • 网站
  • 功能
    13 replies    2014-08-23 22:05:03 +08:00
    qq529633582
        1
    qq529633582  
       Aug 23, 2014
    中间人可以拿到cookie中的session id
    jsonline
        2
    jsonline  
       Aug 23, 2014 via Android
    和不用 HTTPS 没区别
    jasontse
        3
    jasontse  
       Aug 23, 2014 via iPad
    拿不到密码但是可以拿到 Session,考虑到 Session 可以随时销毁稍微安全点吧。
    gamexg
        5
    gamexg  
       Aug 23, 2014
    拿到 session id 后对方可以以用户的身份进行各种操作了。
    azuginnen
        6
    azuginnen  
       Aug 23, 2014
    那你改密码改邮箱的操作可以再验证一遍密码呀
    maxsec
        7
    maxsec  
       Aug 23, 2014
    建议全站HTTPS
    部分页面HTTPS就好比xxoo时前戏完就把TT扔了, 起不到完整的保护作用

    要泛证书可以找这个同学买 xoxo
    maxsec
        8
    maxsec  
       Aug 23, 2014
    是这个... sorry @xoxo
    gihnius
        9
    gihnius  
       Aug 23, 2014
    只保护了密码,很多网站都这样。
    条件允许还是建议全站走 https
    ytf4425
        10
    ytf4425  
       Aug 23, 2014
    全站走 https多好
    https是加密传输的,其他页面http也就是说其他页面的传输可能被人看到
    另外百度不收录https,但是现在谁还要百度收录啊!
    Actrace
        11
    Actrace  
       Aug 23, 2014
    涉及到安全功能的页面必须HTTPS.
    mytharcher
        12
    mytharcher  
       Aug 23, 2014
    http://fex.baidu.com/blog/2014/06/danger-behind-popup-login-dialog/

    结论是要么裸奔,要么全HTTPS
    sanddudu
        13
    sanddudu  
       Aug 23, 2014
    @ytf4425 只要你用户群体是国内用户就得在乎百度收录
    百度不收录 https 原本就是坑,而且居然还没有填上
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   827 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 46ms · UTC 20:51 · PVG 04:51 · LAX 13:51 · JFK 16:51
    ♥ Do have faith in what you're doing.