magento http / httpsは安全ですか、それともWebサイト全体でhttpsを使用する必要がありますか?

8

magentoのウェブサイトをセットアップしていますが、httpsはログインページやアカウントの詳細などの安全なコンテンツにしか使用できないことに気付きました。

つまり、製品ページでは通常のhttpが使用されます。

これは、http経由で送信されたCookieが、Cookieスニッフィングプログラムによって盗まれる脆弱性を備えているのではないですか?

または、MagentoはCookieを送信せずにデフォルトのページを取得し、ローカルのCookieを使用してヘッダーを変更してカスタム名やプロフィール写真などを含めることで、これらのページを処理しますか?

magento-1.9  security  cookie  https 
ガレス
ソース

回答:

6

httpsたとえば、チェックアウトページなどのデータを送信するページでのみ必要です。それでも、安全でないベースURLにhttps URLを使用しても問題はありません

人々がクッキーを盗む(セッションハイジャック)ことを心配している場合はSystem > Configuration > Web > Session Validation SettingsValidate REMOTE_ADDR

[編集]-@AnnaVölklへのクレジット

  • したがって、HTTPとHTTPSの両方でCookieを転送する場合、盗むのはかなり簡単です
  • CookieをHTTPSのみに設定した場合(標準のPHP setcookieメソッドには$ secureフラグがあります)、httpからhttpsに切り替えるとセッションが失われますが、もちろん安全です。

HTTPのみを使用 Magento Cookieを非セキュアチャネル(http)でのみ使用できるか、暗号化チャネル(https)でも使用できるかを決定します。オプションは次のとおりです:はい/いいえ

Webサイト全体でhttpsを使用しない理由はありません:https ://istlsfastyet.com

サンダーマンジェル
ソース
返事をありがとう、これが何をするか説明してくれませんか?
Gareth
CookieのセッションIDが、保存されたセッション+このセッションで保存されたユーザーのIPアドレスと一致するかどうかを確認します。したがって、私があなたのCookie値を盗むことは、あなたのIPがないと機能しません
Sander Mangel
したがって、これは、ネットワーク全体でのCookieの盗難から保護しますが、パブリックなものでは保護しません。サイト全体のフルhttpsをせずにパブリックネットワーク上でこれを防ぐためにどのような方法があります
ギャレス・
私はあなたが正しいと思いますが、私にはわかりません。私は誰かを助けてくれるように頼みました:)
Sander Mangel
1
@Gareth私はアンナの助けを借りて答えを更新しました:)
サンダーマンジェル
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.