我最近为欧洲银行开发了一个激励网站,其中一个要求是SSL – 网站显示了一些个人客户数据(虽然没有财务数据或者非常敏感的数据)。
该网站托pipe在一个共享平台上,我已经在我的虚拟主机上购买了独特的IP + SSL证书,他们将进行安装。
下一个星期一该网站将由审计公司进行彻底的testing,所以我需要确保一切都是完全安全的。 Web应用程序本身和服务器完全符合要求 – 只是仍然需要安装的SSL。
我的问题:
(对不起,我noob问题 – 我是一个devise师,而不是服务器专家..)
谢谢!
编辑:由于我还没有任何真正有用的答案,让我添加一些额外的解释:
而不是以一种可以被第三方轻易拦截和读取的forms在服务器和浏览器之间发送信息。 数据以encryption格式发送,以帮助减轻某人窥探stream量。
否(ISH)…
也许…如果你正在做redirect到http,而不是你的代码中的https。
在许多浏览器中,如果您的网站正在通过http加载图片等内容,您将会收到警告。 由于浏览器会抱怨https和http的混合。
通常不会,因为服务器将允许httpstream量和https。 但是这可以在服务器级别进行控制。 如果你有足够的控制权(在这里我不会详细讨论),这可以在服务器级上实现,但是这要求你拥有比共享服务器更多的访问权限(除非共享,你的意思是虚拟服务器?)。
作为一般说明…请不要采取这种错误的方式。
如果你很快就会受到安全审计员的审查(我认为是应用程序,而不是由于能够加载用户数据的HTML),并且你不具备SSL的基本知识,不幸的是,你可能会失败的审计。
对不起,我不打算得出结论,因为你可以通过…我不知道你的安全审计的具体要求。 但从与安全审计员的工作经验谈话 – SSL只是开始。
这是一个可以让你开始安全的网站: https : //www.owasp.org/index.php/Main_Page
但是就像他们所说的任何事情一样,如果你不具备某个特定angular色的技能,就请一个人来帮忙。 我不希望开发人员拥有devise师的全部技能,反之亦然,那么也许可以向开发人员朋友寻求帮助?
你是什么意思的“激活”?
如果您对SSL没有足够的了解,那么现在就需要学习,然后才能使用它来configuration服务器:)
根据您运行的networking服务器,程序会有所不同。
对于一个Apache Web服务器,需要重要的configuration和人机交互才能使其工作 – 除非您的主机提供为您执行此操作。
对于Windows Web服务器来说,这些操作更像是点击式的变化,但是您仍然需要知道自己在做什么。当您通过HTTP访问SSl网站时,这是一个非常糟糕的主意 – 它否定了首先确保交通安全的诸多优点。
我可以马上告诉你,当你在一个与钱有关的网站(比如银行)上做这件事时,你将不符合PCI标准。
PCI要求相当严格,当然还有公共知识。 您可能会发现,即使网站不直接执行付款交易,审计公司也希望您符合PCI标准。
底线是,如果这对高端产品或生产敏感的话,请专业人员为你做这些事情。
至于最后一个项目符号,通常的做法是将到达未encryption站点的请求redirect到encryption站点,就像本例中可以在Apache httpdconfiguration中find的那样:
<VirtualHost 1.2.3.4:80> ServerName thesite.example.com RedirectMatch (.) https://thesite.example.com$1 [...] </VirtualHost> 请注意,此redirect是通过普通的HTTP连接传输的,如果您的用户主动将https URLinput到浏览器中,则它们只能抵抗某些特定的攻击。
“SSL通过encryption来保护用户的Web浏览器和服务器之间的数据”回答你的问题?
维基百科的 SSL 条目给出了更多的细节。