我已经在不知道多少家网店留下了我的信用卡信息,我注意到有些信息非常“敏感”:当你到达结账区时他们就会转到 HTTPS,这很好。
但是,有些网站允许您在常规 HTTP 页面上输入信用卡信息。只要您提交表单,他们就会切换到 HTTPS(或者您希望如此)。我甚至看到过一个网站在使用 HTTPS 执行某些操作后立即重定向到纯 HTTP——Firefox 地址栏中漂亮的彩色 HTTPS 指示器在我眼前闪烁,然后立即消失。关键是:您事先不知道他们是否会在您提交时加密您的数据。
那么为什么网店不把所有东西都用 HTTPS 呢?我认为这会让我作为客户感到更安全。使用纯 HTTP 有什么大的优势吗?(除了管理员设置起来要简单得多,但我认为这不是一个很好的借口。)
另外,在我提交信用卡信息之前,有没有办法提前知道那些“不敏感”的网店是否会切换到 HTTPS?
答案1
使用 HTTP 来处理请求要快得多,尤其是在浏览器不流水线处理请求时。处理速度更快 == 处理网站所需的资源更少,资源更少 == 成本更低,成本更低 == 利润更高。众所周知:
- 内裤
- ...
- 利润!
当商店使用托管购物车或网站或其他任何东西时,所有这些都会加倍、三倍或更多——在这种情况下,供应商无法控制网站的功能,并且运营整个网站的人没有动力让您感觉更好,除非供应商将业务转移到其他地方(让我们面对现实,由于您的商店没有足够的 SSL 而导致您没有销售,这不是依赖第三方购物车主机的人可能会想到的事情)。
至于您是否会在没有保镖的情况下将信用卡数据发送到其他渠道,如果提交页面是 HTTPS,则如果表单提交 URL 不是 HTTPS,则浏览器应该发出警告,说“此页面将以未加密形式发送”。但是,如果表单页面不安全,则通常不会收到警告(理论上,您可以将浏览器设置为对每个非 HTTPS 的表单提交发出警告,但这会让您抓狂,而且没人会这样做)。
答案2
从技术上讲,为了称交易是安全的,唯一需要加密的部分是表单提交。这意味着表单的行动URI 需要使用 HTTPS 协议。您的浏览器可能使用未加密的连接访问了表单,但提交才是真正关键的部分。
即使知道并理解这一点,我仍然更喜欢通过 SSL 连接访问订单。
答案3
可能的原因有很多:
- SSL 加密可能耗费 CPU 时间。它需要更多机器来提供服务,或者在单台机器上占用更多资源。
- SSL 无法轻易缓存。许多 ISP 都有被动式网络缓存,可以将其缓存在靠近消费者的位置,以加快加载速度。
- 在同一页面上提供 SSL 和非 SSL 内容几乎不可能,否则会收到浏览器警告。这使得 SSL 成为每个页面的全有或全无问题。
- SSL 流量无法压缩。通常在执行 SSL 加密之前进行压缩,但如果不进行压缩,SSL 将阻止压缩发挥作用。
- SSL 还需要消费者端更多的资源。对于台式机或有交流电的地方来说,这可能不是什么大问题,但笔记本电脑和手机有时可用的电量有限。
- SSL 对搜索引擎也不友好。我相信大多数搜索引擎都会查看 https,但并非所有搜索引擎都会对此类页面给出相同的评分,甚至不会遍历它们。
在不需要的地方使用 SSL 就像是给所有门都上锁一样。当然,你可以这样做,但有时你真的迫不及待地想从口袋里掏出钥匙进入浴室。:)
答案4
几周前,史蒂夫·吉布森 (Steve Gibson) 对此进行了精彩的讨论,并解释了为什么 HTTPS 需要成为所有网络通信的标准(就像谷歌对 SDY 所建议的那样)。
http://media.grc.com/sn/sn-217-lq.mp3是实际播客的链接(#217),并且http://www.grc.com/securitynow.htm是“Security Now!”播客完整合集的链接。
享受。