Ver Mensaje Individual
  #5 (permalink)  
Antiguo 25/01/2010, 11:21
Avatar de maycolalvarez
maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 16 años
Puntos: 1532
Respuesta: https y partes q no estan en https

cuando colocas lo referente al login en el directorio destinado al ssl (o directorio seguro) apache cifra la comunicación con el navegador, lo usual es que después de ahí re-direcciones al sitio normal, por lo cual el navegador te mostrará la advertencia "la web esta redirigiendo a un sitio no seguro ¿desea continuar?", eso NO quiere decir que tu sistema sea inseguro, simplemente que las comunicaciones a partir de allí no estarán cifradas y un hacker puede verlas, pero lo que te interesa es que no "vea" el usuario y contraseña, por lo que el uso de ssl en esa parte (la del login) se vuelve fundamental, pero no imprescindible para todo el sitio.

últimamente GMAIL ha optado por mantener permanentemente el modo seguro las sesiones del usuario, en este caso si podría darse ese riesgo ya que evitaría escuchas malintencionadas al estar usando gmail, ese lujo solo se los pueden dar pocos como google que dispone de potentes servers, aún así afecta la velocidad del servicio, puedes cambiarlo al modo tradicional, pero el login siempre estará en modo seguro.

No te preocupes por tener solo lo correspondiente al login en el directorio seguro, es la practica habitual, si necesitas que otras forms transfieran data segura, hazlo, pero evita comprometer todo el sistema

en el caso de los bancos, ni falta hace decirte el porque siempre usan https