V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yakczh
V2EX  ›  程序员

如果网站只是登录用了 https 但是其他功能还是 http 这样有没有安全问题?

  •  
  •   yakczh · 2014-08-23 19:02:54 +08:00 · 3617 次点击
    这是一个创建于 3740 天前的主题,其中的信息可能已经有所发展或是发生改变。
    13 条回复    2014-08-23 22:05:03 +08:00
    qq529633582
        1
    qq529633582  
       2014-08-23 19:08:38 +08:00
    中间人可以拿到cookie中的session id
    jsonline
        2
    jsonline  
       2014-08-23 19:11:50 +08:00 via Android
    和不用 HTTPS 没区别
    jasontse
        3
    jasontse  
       2014-08-23 19:21:13 +08:00 via iPad
    拿不到密码但是可以拿到 Session,考虑到 Session 可以随时销毁稍微安全点吧。
    niseter
        4
    niseter  
       2014-08-23 19:27:59 +08:00 via Android
    gamexg
        5
    gamexg  
       2014-08-23 19:41:25 +08:00
    拿到 session id 后对方可以以用户的身份进行各种操作了。
    azuginnen
        6
    azuginnen  
       2014-08-23 19:53:23 +08:00
    那你改密码改邮箱的操作可以再验证一遍密码呀
    maxsec
        7
    maxsec  
       2014-08-23 20:08:43 +08:00
    建议全站HTTPS
    部分页面HTTPS就好比xxoo时前戏完就把TT扔了, 起不到完整的保护作用

    要泛证书可以找这个同学买 xoxo
    maxsec
        8
    maxsec  
       2014-08-23 20:09:14 +08:00
    是这个... sorry @xoxo
    gihnius
        9
    gihnius  
       2014-08-23 20:12:56 +08:00
    只保护了密码,很多网站都这样。
    条件允许还是建议全站走 https
    ytf4425
        10
    ytf4425  
       2014-08-23 20:59:33 +08:00
    全站走 https多好
    https是加密传输的,其他页面http也就是说其他页面的传输可能被人看到
    另外百度不收录https,但是现在谁还要百度收录啊!
    Actrace
        11
    Actrace  
       2014-08-23 20:59:38 +08:00
    涉及到安全功能的页面必须HTTPS.
    mytharcher
        12
    mytharcher  
       2014-08-23 21:02:01 +08:00
    sanddudu
        13
    sanddudu  
       2014-08-23 22:05:03 +08:00
    @ytf4425 只要你用户群体是国内用户就得在乎百度收录
    百度不收录 https 原本就是坑,而且居然还没有填上
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5396 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 03:46 · PVG 11:46 · LAX 19:46 · JFK 22:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.