我把我的信用卡信息留在了我不知道有多lessnetworking商店,我注意到有些是非常“敏感”:一旦你去结账区,他们去HTTPS,这是很好的。
但是,有些人可以在普通的HTTP页面上input信用卡信息。 只要您提交表单,他们切换到HTTPS(或所以你希望)。 我甚至看到一个在HTTPS中执行某些操作后立即redirect到纯HTTP的情况 – 地址栏中Firefox的漂亮的彩色HTTPS指示灯在我眼前闪现,并立即消失。 重点是:您不提前知道他们是否会在您提交时encryption您的数据。
那么为什么网上商店只是在HTTPS中做所有事情? 我认为这会让我作为一个客户感到更安全。 使用普通的HTTP有什么大的优点吗? (除了为pipe理员设置要简单得多,我认为这不是一个很好的借口)。
另外,在我提交信用卡信息之前,有没有什么办法可以提前发现这些“不敏感”的网店之一是否会切换到HTTPS?
使用HTTP服务请求的速度要快一些,特别是当浏览器不在stream水线请求时。 更快的服务==服务网站所需的资源更less,资源更less==成本更低,成本更低==利润更高。 众所周知,
当商店使用托pipe的购物车或网站时,所有这一切都是双倍,三倍甚至更多 – 在这种情况下,供应商无法控制网站的function,而运行整个网站的人却没有动力让你感觉更好,除非供应商把他们的业务放在其他地方(让我们面对它,因为你的店铺没有足够的SSL'd而不是做销售,这不是那种依赖于某个人的东西第三方购物车主机很可能会拿出)。
至于知道你是否将卡片数据发送到没有保镖的pipe道上,如果提交页面是HTTPS,那么浏览器应该发出一个警告,说明“这个页面将被encryption发送”,如果表单提交的URL不是“ t HTTPS也。 但是,如果表单页面不安全,那么通常情况下您将不会收到警告(理论上,您可以通过浏览器设置警告您提交的每个不是HTTPS的表单提交,但这会使您疯狂没有人这样做)。
从技术上讲,为了安全地调用事务,唯一需要encryption的部分是表单提交。 这意味着表单的动作 URI需要使用HTTPS协议。 您的浏览器可能使用未encryption的连接访问了表单,但是提交是真正的关键部分。
即使知道和理解这一点,我仍然喜欢通过SSL连接访问订单。
有很多可能的原因:
在不需要SSL的地方使用SSL就像把锁锁在你的门上一样。 当然,你可以这样做,但有时你真的等不及要从口袋里掏出一把钥匙进入洗手间。 🙂
对于我来说,我不知道有任何不 SSL的网店(包括我们自己的商店)。
虽然我们尽可能使用SSL,但由于页面通常在不使用SSL的情况下加载速度更快。
史蒂夫·吉布森(Steve Gibson)几个星期前就对此有了一个很好的讨论,并解释了为什么HTTPS需要成为所有networking通信的标准(就像谷歌提出的SDY)。
http://media.grc.com/sn/sn-217-lq.mp3是实际播客(#217)的链接, http://www.grc.com/securitynow.htm是链接到整个安全现在收集! 播客。
请享用。