如果网站只是登录用了 https 但是其他功能还是 http 这样有没有安全问题？

2014-08-23 19:02:54 +08:00

yakczh

3548 次点击

所在节点

程序员

13 条回复

qq529633582

2014-08-23 19:08:38 +08:00

中间人可以拿到cookie中的session id

jsonline

2014-08-23 19:11:50 +08:00

和不用 HTTPS 没区别

jasontse

2014-08-23 19:21:13 +08:00

拿不到密码但是可以拿到 Session，考虑到 Session 可以随时销毁稍微安全点吧。

niseter

2014-08-23 19:27:59 +08:00

http://www.google.com/support/chrome/bin/answer.py?answer=95617

gamexg

2014-08-23 19:41:25 +08:00

拿到 session id 后对方可以以用户的身份进行各种操作了。

azuginnen

2014-08-23 19:53:23 +08:00

那你改密码改邮箱的操作可以再验证一遍密码呀

maxsec

2014-08-23 20:08:43 +08:00

建议全站HTTPS
部分页面HTTPS就好比xxoo时前戏完就把TT扔了, 起不到完整的保护作用

要泛证书可以找这个同学买 xoxo

maxsec

2014-08-23 20:09:14 +08:00

是这个... sorry @xoxo

gihnius

2014-08-23 20:12:56 +08:00

只保护了密码，很多网站都这样。
条件允许还是建议全站走 https

ytf4425

2014-08-23 20:59:33 +08:00

全站走 https多好
https是加密传输的，其他页面http也就是说其他页面的传输可能被人看到
另外百度不收录https，但是现在谁还要百度收录啊！

Actrace

2014-08-23 20:59:38 +08:00

涉及到安全功能的页面必须HTTPS.

mytharcher

2014-08-23 21:02:01 +08:00

http://fex.baidu.com/blog/2014/06/danger-behind-popup-login-dialog/

结论是要么裸奔，要么全HTTPS

sanddudu

2014-08-23 22:05:03 +08:00

@ytf4425 只要你用户群体是国内用户就得在乎百度收录
百度不收录 https 原本就是坑，而且居然还没有填上

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/129492

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.