如果网站只是登录用了 https 但是其他功能还是 http 这样有没有安全问题?

2014-08-23 19:02:54 +08:00
 yakczh
3613 次点击
所在节点    程序员
13 条回复
qq529633582
2014-08-23 19:08:38 +08:00
中间人可以拿到cookie中的session id
jsonline
2014-08-23 19:11:50 +08:00
和不用 HTTPS 没区别
jasontse
2014-08-23 19:21:13 +08:00
拿不到密码但是可以拿到 Session,考虑到 Session 可以随时销毁稍微安全点吧。
niseter
2014-08-23 19:27:59 +08:00
gamexg
2014-08-23 19:41:25 +08:00
拿到 session id 后对方可以以用户的身份进行各种操作了。
azuginnen
2014-08-23 19:53:23 +08:00
那你改密码改邮箱的操作可以再验证一遍密码呀
maxsec
2014-08-23 20:08:43 +08:00
建议全站HTTPS
部分页面HTTPS就好比xxoo时前戏完就把TT扔了, 起不到完整的保护作用

要泛证书可以找这个同学买 xoxo
maxsec
2014-08-23 20:09:14 +08:00
是这个... sorry @xoxo
gihnius
2014-08-23 20:12:56 +08:00
只保护了密码,很多网站都这样。
条件允许还是建议全站走 https
ytf4425
2014-08-23 20:59:33 +08:00
全站走 https多好
https是加密传输的,其他页面http也就是说其他页面的传输可能被人看到
另外百度不收录https,但是现在谁还要百度收录啊!
Actrace
2014-08-23 20:59:38 +08:00
涉及到安全功能的页面必须HTTPS.
mytharcher
2014-08-23 21:02:01 +08:00
sanddudu
2014-08-23 22:05:03 +08:00
@ytf4425 只要你用户群体是国内用户就得在乎百度收录
百度不收录 https 原本就是坑,而且居然还没有填上

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/129492

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX