magento http / https是否安全?还是应该强迫整个网站使用https?

8

我正在设置一个magento网站,但我注意到的一件事是https只能用于安全内容,例如登录页面和帐户详细信息等。

这意味着在产品页面上使用常规http。

这是否意味着通过http传输的cookie容易受到任何cookie嗅探程序的窃取?

还是Magento通过不发送cookie并获取默认页面,然后使用本地cookie更改标题以包含自定义名称和个人资料图片等来处理这些页面。

magento-1.9  security  cookie  https 
加雷斯
source

Answers:

6

https仅在提交数据的页面(例如结帐页面)上是必需的。不过,使用https URL作为不安全的基本URL不会有问题

如果您担心有人在窃取Cookie(会话劫持),请System > Configuration > Web > Session Validation Settings启用Validate REMOTE_ADDR

[编辑]-致谢@AnnaVölkl

  • 因此,如果您同时通过HTTP和HTTPS传输Cookie,则很容易窃取
  • 如果将cookie设置为仅HTTPS(标准的PHP setcookie方法具有$ secure标志,则从http切换为https时,您将失去会话。但这当然是安全的。

仅使用HTTP 确定Magento Cookies是只能在不安全的通道(http)上使用,还是可以在加密的通道(https)上使用。选项包括:是/否

没有理由不再在整个网站上使用https:https//istlsfastyet.com

桑德·曼格尔
source
感谢您的答复,您能解释一下这是什么吗?
加雷斯2015年
它检查cookie中的会话ID是否与存储的会话+与此会话存储的用户IP地址匹配。所以对我来说窃取您的cookie值而不让你的IP是行不通的
桑德甜菜
因此,这可以防止跨网络(但不是在公共网络上)盗窃Cookie。没有任何方法可以在没有整个站点的完整https的情况下在公共网络上阻止此问题
Gareth 2015年
我认为您是对的,但我不确定。我已经请别人帮忙了:)
桑德·曼格尔
1
@加雷斯(Gareth),我已经在安娜(Anna)的帮助下更新了答案:)
桑德
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.