Acabo de agregar este middleware SSL a mi sitio http://www.djangosnippets.org/snippets/85/ que solía proteger solo mi página de inicio de sesión para que las contraseñas no se envíen en texto claro. Por supuesto, cuando el usuario navega fuera de esa página, se desconecta repentinamente. Entiendo por qué sucede esto, pero ¿hay alguna manera de pasar la cookie a HTTP para que los usuarios puedan permanecer conectados?Django: HTTPS solo para la página de inicio de sesión?
Si no es así, ¿hay alguna manera fácil de usar HTTPS para la página de inicio de sesión (y tal vez la página de registro) y mantenerla en HTTPS si el usuario está conectado pero volver a HTTP si el usuario no inicia sesión?
Hay muchas páginas que son visibles tanto para los usuarios que inician sesión como para las que no, por lo que no puedo simplemente designar ciertas páginas como HTTP o HTTPS.
Entonces ... respondió su pregunta cuatro minutos después de haberla publicado ... ¿Hemos terminado aquí? En otra nota, ¿es una buena idea pasar esa cookie por HTTP no cifrado? ¿Podría ser olfateado y luego utilizado para falsificar el inicio de sesión del otro usuario? –
Sí ... probablemente podrían secuestrar la sesión. Sin embargo, robar una contraseña es probablemente algo peor que secuestrar una sesión. Sin embargo, he decidido habilitar cookies seguras y nada ha explotado. Y pensé en la respuesta poco después de publicarla, ¿de acuerdo? Lo dejé en caso de que otras personas tuvieran una idea ... o quisieran saber la respuesta. Lea las preguntas frecuentes, SO lo alienta: p – mpen
Claro, robar una contraseña es peor, pero ¿por qué no simplemente ejecutar toda la sesión en HTTPS? –