Tener contenido http https de carga del sitio http - Enfoque

Navega tus respuestas
1

Mi sitio web es solo un sitio de información y toda la información está disponible para todos aquellos que visiten el sitio web. No hay datos confidenciales y no hay sesiones de usuario \ inicio de sesión.

El contenido de mi sitio http está disponible a través de http y https. Todas las páginas en mi sitio son páginas http. Tenemos que cargar el contenido en el sitio http desde https . Se nos ha pedido que hagamos una redirección forzosa a https para todas las solicitudes http. Tengo las siguientes consultas

1. ¿Está bien tener contenido en https y el sitio en http. ¿Hay algún problema con este enfoque? ¿Se recomienda?

2. Teniendo en cuenta que el usuario solo ve la URL "http", el usuario aún piensa que está en un sitio inseguro. ¿Eso no ayuda?

3. ¿Está haciendo una redirección forzada para todas las direcciones URL http a https el enfoque correcto para esto?

4. La principal preocupación planteada por tener el contenido en https fue que el tráfico entre el administrador de contenido y EPIserver CMS no era seguro. Teniendo en cuenta que no hay datos confidenciales, ¿es este un argumento válido? ¿Hay otros problemas de seguridad (por ejemplo, un atacante que puede cambiar el contenido)?

5. En relación con la consulta anterior, ¿está bien tener la página de inicio de sesión en el CMS a través de https?

6. ¿Debo tener en cuenta alguna otra cosa?

Cualquier orientación sobre las consultas anteriores sería realmente útil.

    
pregunta Chillax 04.08.2016 - 01:04
fuente

1 respuesta

4
  

No hay datos confidenciales

¿Estás seguro de que tu visitante está de acuerdo en compartir su historial de navegación? ¿Sus páginas web tienen algo que no desean compartir?

  
  1. ¿Está bien tener contenido en https y el sitio en http. ¿Hay algún problema con este enfoque? ¿Se recomienda?
    2.   

Si su sitio web presenta el mismo contenido con http y https, debe especificar una página canónica para que el motor de búsqueda evite problemas de contenido duplicado: enlace

Si redirecciona http a https, no tiene que preocuparse por eso.

  
  1. Teniendo en cuenta que el usuario solo ve la url 'http', el usuario aún cree que está en un sitio inseguro. Eso no ayuda?
    2.   

Si la página principal es http, incluso si todos los recursos son https, está en un sitio web no seguro. Algunos atacantes pueden incluir Java malicioso, una página de inicio de sesión falsa o anuncios:

enlace

enlace

  
  1. ¿Está haciendo una redirección de fuerza para todas las URL http a https el enfoque correcto para esto?
    2.   

Sí, es más seguro siempre redirigir http a https. Y es mejor usar HSTS para prevenir sslstrip:

enlace

  
  1. En relación con la consulta anterior, ¿está bien tener la página de inicio de sesión en el CMS a través de https?
    2.   

No. Es menos seguro que tener https para todas las páginas web: si solo tiene la página de inicio de sesión con https, todavía necesita proteger las cookies de las sesiones: enlace y necesita proteger las páginas web que pueden redirigir a la página de inicio de sesión: enlace y cualquier página web donde el visitante pueda esperar una página de inicio de sesión. Entonces, la única forma segura de manejar un inicio de sesión, es usar https en todo el dominio, con HSTS.

  
  1. ¿Debo tener en cuenta alguna otra cosa?
    2.   
respondido por el Tom 04.08.2016 - 17:59
fuente

Lea otras preguntas en las etiquetas

Verificación de seguridad del servidor de recursos y autorización OAuth2 ¿Cuáles son las desventajas de registrar a alguien en el registro?