Ist magento http / https sicher oder sollte die gesamte Website gezwungen sein, https zu verwenden?

8

Ich richte eine Magento-Website ein, aber eines ist mir aufgefallen: https kann nur für sichere Inhalte wie Anmeldeseiten und Kontodetails usw. verwendet werden.

Dies bedeutet, dass auf Produktseiten reguläres http verwendet wird.

Bedeutet dies nicht, dass das über http übertragene Cookie von einem Cookie-Sniffing-Programm gestohlen werden kann?

Oder verarbeitet Magento diese Seiten, indem es kein Cookie sendet und die Standardseite abruft und dann ein lokales Cookie verwendet, um den Header so zu ändern, dass er den benutzerdefinierten Namen und das Profilbild usw. enthält.

Gareth
quelle

Antworten:

6

httpsist nur auf Seiten erforderlich, die Daten senden, wie z. B. die Checkout-Seite. Die Verwendung einer https-URL für eine unsichere Basis-URL würde jedoch nicht schaden

Wenn Sie sich Sorgen machen, dass Personen Cookies stehlen (Sitzungsentführung), gehen Sie zu System > Configuration > Web > Session Validation Settingsund aktivieren SieValidate REMOTE_ADDR

[EDIT] - Credits an @ AnnaVölkl

  • Wenn Sie das Cookie also sowohl über HTTP als auch über HTTPS übertragen, ist es ziemlich einfach, es zu stehlen
  • Wenn Sie das Cookie nur auf HTTPS setzen (die Standard-PHP-Setcookie-Methode hat das Flag $ Secure), verlieren Sie die Sitzung, wenn Sie von http zu https wechseln. Dies ist jedoch sicher.

Nur HTTP verwenden Legt fest, ob Magento-Cookies nur über einen unsicheren Kanal (http) oder auch über einen verschlüsselten Kanal (https) verwendet werden können. Zu den Optionen gehören: Ja / Nein

Es gibt keinen Grund mehr, https nicht mehr auf der gesamten Website zu verwenden: https://istlsfastyet.com

Sander Mangel
quelle
Vielen Dank für die Antwort. Können Sie erklären, was dies bewirkt?
Gareth
Es wird überprüft, ob die Sitzungs-ID im Cookie mit einer gespeicherten Sitzung + der IP-Adresse des Benutzers übereinstimmt, die in dieser Sitzung gespeichert wurde. Es würde also nicht funktionieren, wenn ich Ihren Cookie-Wert stehlen würde, ohne auch Ihre IP zu haben
Sander Mangel
Dies würde also vor Cookie-Diebstahl in Netzwerken schützen, jedoch nicht in öffentlichen Netzwerken. Gibt es eine Möglichkeit, dies in einem öffentlichen Netzwerk ohne vollständige https auf der Website zu verhindern
Gareth
Ich denke du hast recht, aber ich bin mir nicht sicher. Ich habe jemand anderen gebeten, mir zu helfen :)
Sander Mangel
1
@ Gareth Ich habe die Antwort mit Hilfe von Anna aktualisiert :)
Sander Mangel