¿Es seguro http / https de magento o se debe obligar a todo el sitio web a usar https?

8

Estoy configurando un sitio web de magento, pero una cosa que noté es que https solo se puede usar para contenido seguro, como páginas de inicio de sesión y detalles de cuenta, etc.

Esto significa que en las páginas de productos se utiliza http regular.

¿No significa esto que la cookie transmitida a través de http es vulnerable a ser robada por cualquier programa de rastreo de cookies?

¿O Magento maneja estas páginas al no enviar una cookie y obtener la página predeterminada y luego usar una cookie local para cambiar el encabezado para contener el nombre personalizado y la imagen de perfil, etc.

Gareth
fuente

Respuestas:

6

httpssolo se requiere en páginas que envían datos como, por ejemplo, la página de pago. Aún así, usar una URL https para una URL base no segura no estaría de más

Si te preocupa que las personas roben cookies (secuestro de sesión), ve System > Configuration > Web > Session Validation Settingsy habilitaValidate REMOTE_ADDR

[EDITAR] - Créditos a @ AnnaVölkl

  • así que si transfieres la cookie a través de HTTP y HTTPS, es bastante fácil robar
  • si configura la cookie solo para HTTPS (el método setcookie estándar de PHP tiene el indicador $ secure, perderá la sesión al cambiar de http a https. pero, por supuesto, es seguro.

Usar solo HTTP Determina si las cookies de Magento se pueden usar solo en un canal no seguro (http), o también se pueden usar en un canal encriptado (https). Las opciones incluyen: Sí / No

ya no hay razón para no usar https en todo el sitio web: https://istlsfastyet.com

Sander Mangel
fuente
Gracias por la respuesta, ¿podría explicar qué hace esto?
Gareth
Comprueba si la ID de sesión en la cookie coincide con una sesión almacenada + la dirección IP de los usuarios que se almacenó con esta sesión. Entonces, para mí, robar su valor de cookie no funcionaría sin tener también su IP
Sander Mangel
Por lo tanto, esto protegería contra el robo de cookies en todas las redes, pero no en una red pública. ¿Hay alguna manera de evitar esto en una red pública sin https completos en todo el sitio
Gareth
Creo que tienes razón, pero no estoy seguro. Le he pedido a alguien más que me ayude :)
Sander Mangel
1
@Gareth He actualizado la respuesta con la ayuda de Anna :)
Sander Mangel