Apakah magento http / https aman atau haruskah seluruh situs web dipaksa menggunakan https?

8

Saya membuat situs web magento tetapi satu hal yang saya perhatikan adalah https hanya dapat digunakan untuk konten yang aman seperti halaman login dan detail akun dll.

Ini berarti pada halaman produk biasa digunakan http.

Tidakkah ini berarti cookie yang dikirim melalui http rentan dicuri oleh program sniffing cookie apa pun?

Atau apakah Magento menangani halaman-halaman ini dengan tidak mengirim cookie dan mendapatkan halaman default dan kemudian menggunakan cookie lokal untuk mengubah header untuk memuat nama kustom dan gambar profil dll.

Gareth
sumber

Jawaban:

6

httpshanya diperlukan pada halaman yang mengirimkan data seperti halaman checkout misalnya. Namun, menggunakan URL https untuk url basis tidak aman tidak akan merugikan

Jika Anda khawatir tentang orang yang mencuri cookie (pembajakan sesi), buka System > Configuration > Web > Session Validation Settingsdan aktifkanValidate REMOTE_ADDR

[EDIT] - Kredit ke @ AnnaVölkl

  • jadi jika Anda mentransfer cookie baik melalui HTTP dan HTTPS, cukup mudah untuk mencuri
  • jika Anda mengatur cookie hanya untuk HTTPS (metode standar PHP setcookie memiliki tanda $ secure, Anda akan kehilangan sesi ketika beralih dari http ke https. tetapi tentu saja aman.

Gunakan HTTP Only Menentukan apakah Magento Cookies hanya dapat digunakan melalui saluran tidak aman (http), atau juga dapat digunakan melalui saluran terenkripsi (https). Opsi meliputi: Ya / Tidak

tidak ada alasan untuk tidak menggunakan https di seluruh situs web lagi: https://istlsfastyet.com

Sander Mangel
sumber
Terima kasih atas tanggapannya, dapatkah Anda menjelaskan apa yang dilakukannya?
Gareth
Ia memeriksa apakah ID sesi dalam cookie cocok dengan sesi yang disimpan + alamat IP pengguna yang disimpan dengan sesi ini. Jadi bagi saya untuk mencuri nilai cookie Anda tidak akan berhasil tanpa memiliki IP Anda
Sander Mangel
Jadi ini akan melindungi terhadap pencurian cookie di seluruh jaringan tetapi tidak pada jaringan publik. Apakah ada cara untuk mencegah hal ini di jaringan publik tanpa https penuh di seluruh situs
Gareth
Saya pikir Anda benar tetapi saya tidak yakin. Saya sudah meminta orang lain untuk membantu saya :)
Sander Mangel
1
@ Gareth Saya sudah memperbarui jawabannya dengan bantuan dari Anna :)
Sander Mangel