10 dolda funktioner i den NYA Amazon Kindle Fire 7-surfplattan (2015) | H2TechVideos

Den här frågan härrörde från en diskussion här: Annonsnätverk som kommer att fungera via HTTPS?

Min fråga till OP var "är det nödvändigt att ha varje sida bakom SSL?" Visserligen vid tidpunkten för att posta den här frågan hade OP inte kommit tillbaka till mig för att meddela mig vilken typ av webbplats han hade, var allt bakom en inloggning etc etc

Jag håller med om att om allt stod bakom en inloggning, ja, det borde också skyddas av ett SSL-certifikat, men om (till exempel) webbplatsen var en WordPress-blogg, skulle det vara nödvändigt för de delar av webbplatsen som bara skulle ses av din genomsnittliga användare (dvs. en som inte är inloggad) för åtkomst via HTTPS. Visserligen, om du var inloggad och tittade på "front-end" på webbplatsen skulle det skicka över din cookie, men så länge du vidtagit försiktighetsåtgärder mot det borde det vara ok, eller hur?

Om du vidtagit försiktighetsåtgärder för att aldrig besöka områden som inte är SSL på en webbplats medan du är inloggad, och om det fanns en utloggningsprocess som korrekt raderade den autentiserande sessionskakan, borde det vara bra. Naturligtvis, ju fler användare på administratörsnivå du har, desto större är chansen att detta aldrig kommer att hända.

Ett mer idealiskt sätt att göra detta, för Wordpress-exemplet: flytta (inte kopiera) / wp-admin till en annan domän under HTTPS. På det sättet behöver du inte oroa dig för att logga ut för att se till att ditt nya inlägg publicerades okej, eftersom cookies är per domän. En cookie för admin.mysite.tld kommer inte att finnas i förfrågningsrubrikerna för www.mysite.tld, så det finns inget okrypterat att snusas och kapas.

(Beviljas, om det är en WordPress-webbplats med en enda författare / administratör, skulle bara tunnla genom en VPN när du kommer åt den via en Wi-Fi-hotspot ha samma effekt, utan att röra om att tweaka WP för att arbeta över två domäner.)

  • Vilket innebär att du inte skulle få den praktiska länken "Redigera det här inlägget" på din huvudsida.
  • Personligen tar jag vanligtvis bort dem ändå, tillsammans med alla admininloggningslänkar / formulär - wp-admin-området och bokmärken gör ett bra jobb. Det bästa sättet att hålla en dörr stängd är att ersätta den med en tegelvägg.
  • Skulle inte den lösningen orsaka kaos med användare som har sina webbläsare inställda på att avvisa cookies från tredje part?
  • @Kaji: För en enstaka wordpress-blogg behöver bara EN användare logga in. Att lägga till ett undantag för din egen webbplats är inte så svårt. Jag tror inte heller att admin.example.com anses vara en tredje part till example.com
  • Om kakan är inställd specifikt för admin.example.com skickar webbläsaren den endast när den begär (*.) Admin.example.com, men inte för något annat under example.com. Typ av en stor skillnad jag borde ha nämnt: det finns ingen tredje part, bara två separata webbplatser.

fungerat för dig: Charles Robertson | Vill du kontakta oss?