我们公司做的是一个电子商务类型的网站。经理说全都用 https 来访问,对这块不了解。有啥坏处没? 总体来说有没有必要全部都用加密连接
有必要,非加密连接可以盗 cookie 的,cookie 被盗后台就完蛋了。
内网也不保证安全的,只要后台操作人员能打开除了后台意外的网页,就有机会被伪造跨站请求。
https 完全不慢...
如果你的网站没有攻击的价值,你就是安全的,但是电子商务网站后台价值你也知道的...
另外 https cookie 要加两个属性:secure 和 http only
secure 保证用户在访问 http 同域名其他路径时不会泄露 cookie http only 保证 cookie 不能被各种国产浏览器里悄悄运行的 javascript 访问 ...
坏处是电子商务站的证书比较贵..
https 速度慢是上个世纪的事情了... 你可以在 nginx 或者 apache 随便配一下 (自己生成个证书就行), 然后用 ab 测一下对性能的影响