这是一个创建于 3738 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
qq529633582 2014-08-23 19:08:38 +08:00
中间人可以拿到cookie中的session id
|
 |
2
jsonline 2014-08-23 19:11:50 +08:00 via Android
和不用 HTTPS 没区别
|
 |
3
jasontse 2014-08-23 19:21:13 +08:00 via iPad
拿不到密码但是可以拿到 Session,考虑到 Session 可以随时销毁稍微安全点吧。
|
 |
4
niseter 2014-08-23 19:27:59 +08:00 via Android
|
 |
5
gamexg 2014-08-23 19:41:25 +08:00
拿到 session id 后对方可以以用户的身份进行各种操作了。
|
 |
6
azuginnen 2014-08-23 19:53:23 +08:00
那你改密码改邮箱的操作可以再验证一遍密码呀
|
 |
7
maxsec 2014-08-23 20:08:43 +08:00
建议全站HTTPS
部分页面HTTPS就好比xxoo时前戏完就把TT扔了, 起不到完整的保护作用 要泛证书可以找这个同学买 xoxo |
 |
9
gihnius 2014-08-23 20:12:56 +08:00
只保护了密码,很多网站都这样。
条件允许还是建议全站走 https |
 |
10
ytf4425 2014-08-23 20:59:33 +08:00
全站走 https多好
https是加密传输的,其他页面http也就是说其他页面的传输可能被人看到 另外百度不收录https,但是现在谁还要百度收录啊! |
 |
11
Actrace 2014-08-23 20:59:38 +08:00
涉及到安全功能的页面必须HTTPS.
|
 |
12
mytharcher 2014-08-23 21:02:01 +08:00
|
Select Language