Ist magento http / https sicher oder sollte die gesamte Website gezwungen sein, https zu verwenden?

Ich richte eine Magento-Website ein, aber eines ist mir aufgefallen: https kann nur für sichere Inhalte wie Anmeldeseiten und Kontodetails usw. verwendet werden.

Dies bedeutet, dass auf Produktseiten reguläres http verwendet wird.

Bedeutet dies nicht, dass das über http übertragene Cookie von einem Cookie-Sniffing-Programm gestohlen werden kann?

Oder verarbeitet Magento diese Seiten, indem es kein Cookie sendet und die Standardseite abruft und dann ein lokales Cookie verwendet, um den Header so zu ändern, dass er den benutzerdefinierten Namen und das Profilbild usw. enthält.

httpsist nur auf Seiten erforderlich, die Daten senden, wie z. B. die Checkout-Seite. Die Verwendung einer https-URL für eine unsichere Basis-URL würde jedoch nicht schaden

Wenn Sie sich Sorgen machen, dass Personen Cookies stehlen (Sitzungsentführung), gehen Sie zu System > Configuration > Web > Session Validation Settingsund aktivieren SieValidate REMOTE_ADDR

[EDIT] - Credits an @ AnnaVölkl

• Wenn Sie das Cookie also sowohl über HTTP als auch über HTTPS übertragen, ist es ziemlich einfach, es zu stehlen
• Wenn Sie das Cookie nur auf HTTPS setzen (die Standard-PHP-Setcookie-Methode hat das Flag $ Secure), verlieren Sie die Sitzung, wenn Sie von http zu https wechseln. Dies ist jedoch sicher.

Nur HTTP verwenden Legt fest, ob Magento-Cookies nur über einen unsicheren Kanal (http) oder auch über einen verschlüsselten Kanal (https) verwendet werden können. Zu den Optionen gehören: Ja / Nein

Es gibt keinen Grund mehr, https nicht mehr auf der gesamten Website zu verwenden: https://istlsfastyet.com