Tengo una pantalla de inicio de sesión que se sirve a través de SSL. El usuario rellena su nombre de usuario/contraseña, esto se transfiere al servidor. En este punto, quiero saltar de SSL, así que los redirijo a la misma página sin SSL.Evitar SSL "Estás a punto de ser redireccionado a una conexión que no es segura." mensaje
Esto hace que el navegador muestre un cuadro de diálogo de advertencia "Está a punto de ser redirigido a una conexión que no es segura". ¿Cómo puedo evitar esto? He tenido muchos sitios como el correo yahoo y gmail que te dan una página SSL para iniciar sesión, luego te envío a una página que no es SSL después de esto.
Pregunta secundaria: ¿cuál es el propósito de este diálogo? Está tratando de advertirme sobre algún propósito nefasto, pero ¿qué hay de malo en redirigir a alguien a una página que no sea SSL? No recibo una advertencia cuando estoy en una página SSL y hago clic en un enlace que no sea SSL. ¿Qué hay de diferente en redirigir a alguien?
Estoy haciendo esto en ASP.NET 2.0, pero creo que esta es una pregunta genérica de desarrollo web.
ACTUALIZAR RESUMEN: Parece que la respuesta popular es "NO EVITARLO". Puedo entender que un usuario debería recibir un mensaje cuando se elimine la seguridad. Pero no obtengo un diálogo cuando sigo un enlace y se elimina la seguridad, por lo que al menos diría que esto es inconsistente.
Las versiones de diálogo/navegador. De hecho, no veo el diálogo en IE7/FF3 (tal vez he hecho clic en una casilla de verificación para evitarlo). Lo que es más importante, el cliente SI LO ve en IE6, sin una casilla de verificación para eliminarlo (sí, sé que IE6 es viejo y una mierda).
Firefox2: FF2 http://img521.imageshack.us/img521/8455/sslwarning.jpg
IE6: IE6 http://img188.imageshack.us/img188/139/sslwarningie6.jpg
La alternativa: hacer que todo el sitio SSL, nunca se redirigir al usuario de SSL. Podría manejar eso. Pero tengo un cliente semi-técnico que tiene algunos puntos bastante buenos:
- "SSL va a causar un aumento en el tráfico/potencia de procesamiento". Realmente no me compro esto, y no creo que su sitio necesite más de una caja para atenderlo.
- "Yahoo lo hace. Yahoo es una gran empresa técnica. ¿Eres más inteligente que Yahoo?"
Voy a intentar influir en el cliente a un sitio totalmente SSL. Argumentaré que el enfoque de Yahoo tenía sentido en 1996, o para un sitio que es MUCHO más popular. Algunos enlaces oficiales que explican por qué sucede este diálogo ayudarían (es decir, el nivel de autenticidad de Jakob Nielsen).
¿Qué pasa con el caso en que el dominio ssl es diferente del dominio de la aplicación? Como una configuración de tipo SSO. – Joel
Algunos preferirían evitar SSL siempre que sea posible porque consume más ancho de banda (los datos cifrados son en general más grandes que su equivalente en texto claro) e incurre en un golpe adicional de CPU (para el proceso de cifrado real). – Abignale
@Abignale: la sobrecarga de tráfico criptográfico es rara vez observado AFAICS. Además, la criptografía generalmente se combina con la compresión, por lo que si no ha utilizado la compresión (por ejemplo, mod_deflate) antes, la criptografía podría incluso disminuir el tráfico. – vog