Во-первых, позвольте мне признать, что то, что я знаю о HTTPS, довольно рудиментарно. Я не знаю много о безопасности сеанса, шифровании или о том, как должно быть выполнено любое из этих действий.
Я знаю, что важна безопасность в Интернете; что ужасные истории XSS, CSRF и инъекций базы данных появляются снова и снова. Я знаю, что превентивная позиция против таких эксплойтов лучше реактивной.
Но мотивация для этого вопроса исходит из другой точки зрения. Я работаю на сайте, который регулярно принимает платежи от пользователей. Очевидно, что платежи отправляются по защищенному каналу (HTTPS). Я в основном работаю над CSS, HTML и JavaScript сайта. Мне сказали, что необходимо дублировать CSS, JavaScript и файлы изображений, прежде чем их можно будет вызывать через HTTPS. Поэтому предположим, что у меня есть следующие файлы:
- CSS/global.css
- JS/global.js
- Изображения /
- logo.png
- bg.png
Как я понимаю, эти файлы нужно дублировать, прежде чем их можно "добавить" в HTTPS. Таким образом, файл может находиться под защитой (HTTPS) или нет.
Если это так, то это серьезное препятствие. Даже на самом маленьком сайте было бы большой проблемой дублировать файлы, а затем поддерживать их каждый раз при изменении CSS или JS. Очевидно, это можно было бы облегчить, переместив все в HTTPS.
Итак, что я хочу знать, каковы плюсы и минусы сайта, полностью зависящего от HTTPS? Означает ли это заметные накладные расходы? Разве просто глупо размещать весь сайт под шифрованием? Стали бы пользователи чувствовать себя безопаснее, видя "безопасные" уведомления в своем браузере в течение всего их визита? И последнее, но не менее важное: действительно ли это сделать для более безопасного сайта? Что HTTPS не защищает?