从 HTTPS 重定向到 HTTP 的安全问题？

Question

我在一些博客上读到（很抱歉没有提及参考资料，但我再也找不到它），如果您将用户从 https 页面重定向到一个 http 页面。

那么，有人可以向我解释一下，在以下情况下我是对还是错：

• 在登录页面上使用 https，然后使用 http 将他重定向到管理页面是否是正确的做法，或者这会创建安全性诸如 Session Fixation 劫持、窃取会话等问题？

• 或者我必须将管理页面也保留在 https 中吗？

问题的另一方面是：https 允许缓存静态文件吗？

我在这里读过其他文章，但我仍然很困惑，因为有些人说“是”，有些人说“不”；也有人说这取决于浏览器。

Answer 1

在您的实例中（仅使用 HTTPS 保护登录页面），虽然登录详细信息将受到保护（例如用户名/密码），但您的用户将容易受到会话劫持。

使用 HTTP/HTTPS 混合还是完整 HTTPS 取决于您的情况。例如，亚马逊将使用 HTTPS 进行登录，但您将使用 HTTP 浏览网站，但一旦您进入敏感区域（订单详细信息屏幕、更改帐户/密码详细信息等），它就会切换到 HTTPS 并询问您重新进行身份验证。 从 HTTP 切换到 HTTPS 后重新验证用户身份是阻止会话劫持的关键，因为您实际上是在发出新的会话令牌。因此，如果用户窃取会话令牌，他们仍然不会窃取会话令牌拥有您的用户名/密码，但无法访问您的帐户部分。

如果管理区域特别敏感，则只需使用 HTTPS 即可完成整个操作。 Google 发现使用完整 HTTPS 的 CPU 开销在 1-5% 之间，基本上几乎没有什么开销。

至于在 HTTPS 上缓存静态文件，我不确定，但是这篇 SO post 建议它会正常缓存 网络浏览器是否会通过 https 缓存内容

Answer 2

一切都必须与 https 一起使用。如果你切换到http，每个人都可以看到正在发送的内容，这意味着你提到的那些安全问题就会出现。

原因是您必须识别您的客户才能在您的管理站点中分配访问权限。这样做的一种可能性是发回一个令牌（一些哈希值或其他）。根据令牌，您知道它是否是经过身份验证的客户端。但其他人确实看到了这个标记 =>安全问题。

当然，您可以使用之前的 https 会话来交换私钥。并用它以某种方式加密你的 http 内容。但这是一个坏主意，因为 https 可以更方便地做到这一点。