Подтвердить что ты не робот

Есть ли причина не обслуживать контент https на странице, обслуживаемой через http?

В настоящее время у меня есть контент изображения, который обслуживается в домене, доступном только через https. Что является недостатком обслуживания изображения с помощью https-пути на странице, доступной по http? Есть ли какие-либо соображения кэширования? Я использую объект HttpRuntime.Cache для хранения абсолютного пути изображения, который извлекается из базы данных.

  • Я предполагаю, что нет пользы для использования URL-адресов, относящихся к протоколу, если изображение доступно только через https?

  • Есть ли веская причина, почему я должен создать отдельный виртуальный каталог, который также будет обслуживать контент изображения через http?

4b9b3361

ОТВЕТЫ

Ответ 1

  • Если контент, обслуживаемый HTTPS на странице HTTP, не особенно чувствителен и может быть передан по протоколу HTTP, нет недостатков (возможно, некоторые проблемы с производительностью, not обязательно много и отсутствие кеширования, в зависимости от того, как настроен ваш сервер: вы можете кэшировать некоторый контент HTTPS).

  • Если сервер содержимого через HTTPS достаточно чувствителен, чтобы мотивировать использование HTTPS, это действительно плохая практика.

    Проверка того, что HTTPS используется и используется правильно, несет ответственность только клиент и его пользователь (поэтому автоматическое перенаправление от HTTP до HTTPS является лишь частично полезным, например). Хотя некоторые из них связаны с техническими характеристиками проверки сертификатов, большая часть безопасности, предоставляемой HTTPS, связана с тем, что пользователь:

    • рассчитывает использовать HTTPS (иначе их можно было бы легко понизить),
    • может проверить действительность сертификата: зеленая/синяя полоса, соответствующая имени хоста, на котором они ожидают.

    Первая точка может быть решена с помощью HTTP Strict Transport Security с технической точки зрения.

    Второе требует использования взаимодействия. Если вы заходите на веб-сайт своего банка, это должен быть не только сайт с действующим сертификатом, но вы также должны проверить, действительно ли это доменное имя вашего банка.

    Встраивание содержимого HTTPS в HTTP-страницу поражает это, так как пользователь не может проверить, какой сайт используется, и что HTTPS используется вообще. В какой-то степени вложение содержимого HTTPS с третьей стороны на странице HTTPS также представляет эту проблему (это одна из проблем с 3-D Secure, который вполне может быть использован с использованием HTTPS, но с использованием iframe не делает видимым какой-либо сайт).