Mischen von sicheren und nicht sicheren Inhalten auf Webseiten - Ist das eine gute Idee?

9

Ich versuche, Wege zu finden, um meine sichere Website zu beschleunigen. Da viele CSS-Images geladen werden müssen, kann die Site verlangsamt werden, da sichere Ressourcen nicht vom Browser auf die Festplatte zwischengespeichert werden und häufiger abgerufen werden müssen, als sie wirklich benötigen.

Eine Sache, über die ich nachgedacht habe, ist vielleicht, style-basierte Bilder und JavaScript-Bibliotheken in eine nicht sichere Subdomain zu verschieben, damit der Browser diese Ressourcen zwischenspeichern kann, die kein Sicherheitsrisiko darstellen (ein Gradient ist nicht genau empfindlich) Material).

Ich wollte sehen, was andere Leute über so etwas denken. Ist das eine machbare Idee, oder sollte ich meine Website auf andere Weise optimieren, wie CSS-Sprite-Maps usw., um Anfragen und Bandbreite zu reduzieren?

    
Dan Herbert 12.12.2008, 03:46
quelle

4 Antworten

2

Browser (besonders IE) werden nervös und warnen Benutzer, dass auf der Seite gemischter Inhalt ist. Wir haben es ausprobiert und ein paar Benutzer angerufen, um die Sicherheit unserer Website in Frage zu stellen. Ich würde es nicht empfehlen. Wenn die Benutzer ihr Sicherheitsgefühl bei der Verwendung Ihrer Website verlieren, lohnt sich die zusätzliche Geschwindigkeit nicht.

    
Chris Van Opstal 12.12.2008, 03:51
quelle
1

Mischen Sie keine Inhalte, es gibt nichts ärgerlicheres als das Klicken auf den Ja-Knopf in diesem Dialog. Ich wünschte, IE würde mir immer erlauben, gemischte Content-Seiten anzuzeigen. Wie Chris sagte, mach es nicht.

Wenn Sie Ihre Website optimieren möchten, gibt es viele Möglichkeiten, wenn SSL die einzige Möglichkeit ist, einen Hardwarebeschleuniger zu kaufen .... hmmm, wenn Sie ein Bild mit http laden, wird es zwischengespeichert, wenn Sie es mit https laden ? Nur eine Nebenfrage, die ich herausfinden muss.

    
JoshBerke 12.12.2008 04:40
quelle
0

Beachten Sie, dass es im IE 7 Probleme gibt, sichere und nicht sichere Elemente auf derselben Seite zu mischen. Dies kann dazu führen, dass einige Benutzer nicht in der Lage sind, den gesamten Inhalt Ihrer Seiten richtig anzuzeigen. Nicht, dass ich IE 7 unterstütze, aber in letzter Zeit musste ich mich mit diesem Thema befassen, und es ist ein Schmerz, mit dem ich mich befassen muss.

    
Elie 12.12.2008 03:52
quelle
0

Das ist überhaupt nicht ratsam. Der Grund dafür, dass Browser so viele Probleme mit unsicherem Inhalt auf sicheren Seiten verursachen, ist, dass Informationen über die aktuelle Sitzung verfügbar sind und Sie anfällig für Man-in-the-Middle-Angriffe sind. Ich gebe da wahrscheinlich nicht viel, was eine dritte Partei tun könnte, um ehrwürdige Informationen zu erschnüffeln, wenn der einzige verunsicherte Inhalt Bilder sind, aber CSS kann einen Verweis auf javascript / vbscript über Verhaltensdateien (IE) enthalten. Wenn Ihr JavaScript nicht sicher bedient wird, kann nicht viel getan werden, um zu verhindern, dass ein Rouge-Skript Ihre Webseite zu einem ungünstigen Zeitpunkt scrappt.

Im besten Fall könntest du einen Weg finden, sichere Inhalte zu iframing zu bekommen, um das Aussehen und Verhalten zu erhalten. Als Verbraucher mag ich es wirklich nicht, aber als Webentwickler musste ich das vorher tun, weil es keine anderen pragmatischen Optionen gab. Aber ehrlich gesagt gibt es genauso viele, wenn nicht sogar mehr Fehler, denn schließlich hoffst du, dass etwas die Integrität des -sicheren Contents nicht verletzt, damit es den Host beherbergen kann sichere Inhalte und nicht einige alternative Inhalte .

Aus Sicherheitsgründen ist das keine gute Idee.

    
JayC 13.03.2012 16:13
quelle

Tags und Links