Назад | Перейти на главную страницу

HTTPS: включить глобально или только при отправке данных?

Я хочу включить HTTPS для своего веб-сайта на страницах, где данные отправляются пользователем (формы, комментарии и т. Д.).

Имеет ли смысл включать его только тогда, когда на странице используются формы, или его проще включить глобально?

Если не глобально, мне это тоже нужно при поиске?

Вы должны включить его глобально, иначе вы будете уязвимы для ситуации, когда злоумышленник изменяет незашифрованную форму для отправки всех пользовательских данных на evilserver.com, а не на тот, который вы хотите (или, поскольку злоумышленник активно прослушивает, измените действие формы для использования HTTP вместо HTTPS).

Вы также можете попасть в головную боль конфигурации, шифрование только на выборочных путях. Обычно проще просто зашифровать все, и это предотвратит вышеупомянутую атаку.