1. Inicio
  2. Pregunta y respuesta
  3. ¿Hay alguna razón para no mostrar contenido https en una página servida en http?

¿Hay alguna razón para no mostrar contenido https en una página servida en http?

2012-05-17 10 views
12

Actualmente, el contenido de la imagen se publica en un dominio al que solo se puede acceder a través de https. ¿Cuál es la desventaja de servir una imagen con una ruta https en una página a la que se accede a través de http? ¿Hay alguna consideración de almacenamiento en caché? Estoy usando un objeto HttpRuntime.Cache para almacenar la ruta de la imagen absoluta, que se recupera de una base de datos.¿Hay alguna razón para no mostrar contenido https en una página servida en http?

  • Supongo que no es beneficioso usar URL relativas al protocolo si la imagen solo se puede acceder a través de https?

  • ¿Hay alguna razón de peso por la que deba configurar un directorio virtual por separado para que también sirva el contenido de la imagen en lugar de http?

Fuente

2012-05-17 Mac

Respuesta

10

  • Si el contenido a través de HTTPS dentro de la página HTTP no es particularmente sensible e igualmente podría ser servido a través de HTTP, no hay desventaja (tal vez algunos problemas de rendimiento, not necessarily much, y la falta de almacenamiento en caché, según cómo esté configurado su servidor: puede almacenar en caché algo de contenido HTTPS).

  • Si el servidor de contenido a través de HTTPS es suficientemente sensible para motivar el uso de HTTPS, esta es una mala práctica.

    Comprobación de que HTTPS se utiliza y se utiliza correctamente es responsabilidad exclusiva del cliente y su usuario (esta es la razón por automatic redirections from HTTP to HTTPS are only partly useful, por ejemplo). Aunque algunas de ellas tiene que ver con los aspectos técnicos de la verificación del certificado, una gran cantidad de la seguridad ofrecida por HTTPS viene del hecho de que el usuario:

    1. espera estar usando HTTPS (de lo contrario podrían ser fácilmente degradados),
    2. es capaz de verificar la validez del certificado: barra verde/azul, que corresponde al nombre de host en el que esperan estar.

    El primer punto se puede abordar mediante HTTP Strict Transport Security, desde un punto de vista técnico.

    El segundo necesita interacción utilizada. Si va al sitio web de su banco, no solo debe ser un sitio con un certificado válido, sino que también debe verificar que sea el nombre de dominio de su banco, por ejemplo.

    La incrustación de contenido HTTPS en una página HTTP fracasa, ya que el usuario no puede verificar qué sitio se está usando y, de hecho, se usa HTTPS. Hasta cierto punto, incrustar contenido HTTPS de un tercero en una página HTTPS también presenta este problema (este es uno de los problemas con 3-D Secure, que bien puede ser servido usando HTTPS, pero usar un iframe no hace qué sitio se usa realmente visible.)

Fuente

2012-05-17 18:32:23 Bruno

+0

¿Podría explicar el almacenamiento en caché? El almacenamiento en caché/el rendimiento es mi principal preocupación. El contenido no es sensible Tengo contenido rotativo administrado a través de una base de datos y muchas vistas de página, por lo que el almacenamiento en caché es importante. Además de la "ligera sobrecarga" causada por servir contenido https, ¿se producirán comportamientos de almacenamiento en caché inesperados? – Mac

+0

Use 'Cache-Control: public'. – Bruno

+0

Sus consideraciones fueron útiles. ¡Gracias! – Mac

Cuestiones relacionadas

 Cuestiones relacionadas