Skocz do zawartości
blfr

Mieszanie http i https; certyfikaty EV (zielone)

Polecane posty

Zauważyłem, że niektóre strony, szczególnie sklepy internetowe, mieszają http i https. Pozwalają na przykład przeglądać stronę po http, a formularz logowania serwują po https (albo i tylko target formularza). Nierzadko przekierowują również z powrotem na http użytkowników zalogowanych. Z większych portali robi tak na przykład Allegro.

 

Czy to jest tylko kwestia technologicznych zaszłości, czy celowa praktyka? Jeśli celowa, to czym podyktowana? Jednocześnie, czy serwowanie wszystkiego pod zielonym paskiem, jak na przykład Zalando, poprawia konwersje? Są dostępne publicznie jakieś badania na ten temat na większej próbie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

Jeśli na stronie głównej są obrazki i newsy to po co serwować to po https? W przypadku formularzy logowania / rejestracji czy koszyka w sklepie ma to sens ze względu na przesyłanie wrażliwych danych (np PrestaShop przy aktywnym SSL uaktywnia go tylko w momencie przejścia do koszyka lub logowania / rejestracji)

 

Odnośnie SSL i Google - były jakieś słuchy, że witryny po SSL będą lepiej promowane w SERPach ale o tym jak jest naprawdę musiałaby się wypowiedzieć osoba która się zajmuje SEO.

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja mam swoją stronę dostępną po http i https i powiem że w niektórych przypadkach trochę mi urosło w google, ale nie wiem czy to po prostu nie złudzenie, pojawia się też kolejny problem z duplikacja treści, mam canonicala i w google czasami treści w ogóle znikają i nie pojawia się ani wynik po http ani po https i nie wiem jak rozwiązać w ten problem. Wchodząc po http w canonicalu jest http://strona.pl/news wchodząc po https jest https://strona.pl/news i stąd owy problem, tylko nie wiem jak się z nim uporać. Miałem kiedyś tym problemem temat zakładać, ale skoro już ktoś taki temat stworzył to się podepnę.
Jakieś propozycje? Bo szczerze mówiąc nie chciałbym wszystkiego po https dla google ukrywać bo mam tam np wymuszone logowanie, a w przyszłości jeszcze kilka innych rzeczy chce po https dać.

Edytowano przez protoplasta (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli na stronie głównej są obrazki i newsy to po co serwować to po https? W przypadku formularzy logowania / rejestracji czy koszyka w sklepie ma to sens ze względu na przesyłanie wrażliwych danych (np PrestaShop przy aktywnym SSL uaktywnia go tylko w momencie przejścia do koszyka lub logowania / rejestracji)

Ale jak ktoś ciacho potem weźmie to i tak je ma. Można kombinować z ustawianiem kilku i do niektórych operacji (zatwierdzenie zakupu, podanie adresu, płatność) tylko wymagać SSL, ale takie przerzucanie tylko daje wiele możliwości pomyłki.

 

Jakieś propozycje? Bo szczerze mówiąc nie chciałbym wszystkiego po https dla google ukrywać bo mam tam np wymuszone logowanie, a w przyszłości jeszcze kilka innych rzeczy chce po https dać.

Wszystko puścić po https, a z http zrobić tylko 301. Czemu nie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

Idea SSL to raczej uniemożliwienie podsłuchu transmisji np jesteś podłączony do publicznego WiFi i nie chcesz by sobie jakiś zły człowiek przechwycił twoje hasło.. więc formularz logowania jest po SSL.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wszystko puścić po https, a z http zrobić tylko 301. Czemu nie?

Właśnie nie do końca, bo pracując na wielu biurowych komputerach zauważyłem że jest problem z datą na niektórych z nich (znajomy też ma u siebie datę przestawioną i kilka godzin i ma ten sam problem) przez co strona lecąca po https nie działa, dodatkowo na stronę z informacjami chyba niezbyt wypada bo przykładowo niektóre odtwarzacze nie działają jak np ten z twitcha.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Twitcha nie używam, ale YouTube i Gfycat bez problemu.

 

Idea SSL to raczej uniemożliwienie podsłuchu transmisji np jesteś podłączony do publicznego WiFi i nie chcesz by sobie jakiś zły człowiek przechwycił twoje hasło.. więc formularz logowania jest po SSL.

Nawet jak hasła nie weźmie, to często wystarczy mu ciasteczko.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Dla bezpieczeństwa po zalogowaniu powinno być SSL na całości.

Mamy przecież SPDY, na nim został oparty HTTP/2 który zyskuje z dnia na dzień coraz więcej wsparcia.

W czasach coraz większych przestępstw internetowych, każda firma powinna dbać o swoich klientów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Łukasz Tkacz

Zgadzam się z powyższym. Jest jeszcze jedna kwestia - SSL i SPDY pozwalają przyśpieszyć gdy łączymy się mobilnie, a nie czarujmy się, ruch z tego typu urządzeń rośnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W miarę bezpieczny schemat:

Chodzenie po stronie i oglądanie = nie trzeba ssla.

Zalogowanie się = regeneracja id sesji/cookie i brak możliwości wejścia bez ssl (w razie wejścia bez ssla będąc zalogowanym przekierowanie na ssl i regeneracja znowu, albo nawet wylogowanie).

 

Wejście na www bez ssla będąc zalogowanym umozliwi osobie ktora odczytuje ruch na wejscie jako zalogowany. Pomijam iż mozna tez sprawdzac ip uzytkownika sesji - mozna to obejsc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×