ログイン用にSSLを有効にすることを考えています。リダイレクト時の警告を避けるために、ログインだけをhttps://とし、ajaxを使用しますか?
以前は、ログインフォームをHTTPS URLに送信してからセキュリティで保護されていないページにリダイレクトすると、警告が表示されます(非セキュアページへの転送)。
JSを使用してフォーム入力をhttps:// URLに投稿し、応答を返してJSでリダイレクトすると、この警告は正しく表示されませんでした。
ログイン用にSSLを有効にすることを考えています。リダイレクト時の警告を避けるために、ログインだけをhttps://とし、ajaxを使用しますか?
以前は、ログインフォームをHTTPS URLに送信してからセキュリティで保護されていないページにリダイレクトすると、警告が表示されます(非セキュアページへの転送)。
JSを使用してフォーム入力をhttps:// URLに投稿し、応答を返してJSでリダイレクトすると、この警告は正しく表示されませんでした。
ログインにSSLを使用するだけで、SSLを使用する目的が無効になります。セッション全体でSSLを使用していない場合、悪意のある当事者は依然としてユーザーのCookieを盗聴し、自分のアカウントにアクセスできます。 Firesheepを参照してください。私が何を意味するかを見るためにGoogle "Firesheep"。 –
しかし、外部からホストされているFileMakerデータベースのデータやイメージが多くロードされているため、このサイトはすでに低迷しているため、ログインしているすべてのページを暗号化するとパフォーマンスが低下すると思います。 – gio
クッキー/セッション(データベース、暗号化されたクッキー、サーバー上のキーチェック)を保存するために適切な手法を使用する場合は、パケットスニッフィングに問題があってはならず、単にログイン時にsslを使用できます。これは、ページがたくさんあるサイト(つまりGoogle)がこれを行う方法です。 – sharpper