O magento http / https é seguro ou o site inteiro deve ser forçado a usar https?

8

Estou configurando um site magento, mas uma coisa que notei é que o https pode ser usado apenas para conteúdo seguro, como páginas de login e detalhes da conta etc.

Isso significa que, nas páginas do produto, é usado o http normal.

Isso não significa que o cookie transmitido por http é vulnerável a ser roubado por qualquer programa de detecção de cookies?

Ou o Magento lida com essas páginas não enviando um cookie e obtendo a página padrão e, em seguida, usando um cookie local para alterar o cabeçalho para conter o nome personalizado e a imagem do perfil etc.

Gareth
fonte

Respostas:

6

httpsé necessário apenas em páginas que enviam dados como a página de check-out, por exemplo. Ainda assim, o uso de um URL https para um URL base não seguro não faria mal

Se você está preocupado com pessoas que roubam cookies (seqüestro de sessão), acesse System > Configuration > Web > Session Validation Settingse ativeValidate REMOTE_ADDR

[EDIT] - Créditos para @ AnnaVölkl

  • então, se você transferir o cookie via HTTP e HTTPS, é muito fácil roubar
  • se você configurar o cookie apenas para HTTPS (o método padrão setcookie do PHP tem o sinalizador $ secure, você perderá a sessão ao alternar de http para https. mas é seguro, é claro.

Usar apenas HTTP Determina se os Magento Cookies podem ser usados ​​apenas em um canal não seguro (http) ou também podem ser usados ​​em um canal criptografado (https). As opções incluem: Sim / Não

não há razão para não usar https em todo o site: https://istlsfastyet.com

Sander Mangel
fonte
Obrigado pela resposta, você poderia explicar o que isso faz?
Gareth
Ele verifica se o ID da sessão no cookie corresponde a uma sessão armazenada + o endereço IP do usuário que foi armazenado com esta sessão. Então, para mim para roubar o seu valor de cookie não iria funcionar sem também ter o seu IP
Sander Mangel
Portanto, isso protegeria contra o roubo de cookies nas redes, mas não em uma rede pública. Existe alguma maneira de evitar isso em uma rede pública sem https completos em todo o site
Gareth
Acho que você está certo, mas não tenho certeza. Eu pedi a outra pessoa que me ajudasse :)
Sander Mangel
11
@Gareth Atualizei a resposta com a ajuda de Anna:) #
Sander Mangel