Magento http / https est-il sécurisé ou l'ensemble du site Web doit-il être contraint d'utiliser https?

8

Je mets en place un site Web magento, mais j'ai remarqué une chose: https ne peut être utilisé que pour du contenu sécurisé tel que des pages de connexion et des détails de compte, etc.

Cela signifie que sur les pages produits, un http standard est utilisé.

Cela ne signifie-t-il pas que le cookie transmis via http est vulnérable à être volé par un programme de détection de cookies?

Ou Magento gère-t-il ces pages en n'envoyant pas de cookie et en obtenant la page par défaut, puis en utilisant un cookie local pour changer l'en-tête pour contenir le nom personnalisé et la photo de profil, etc.

Gareth
la source

Réponses:

6

httpsn'est requis que sur les pages qui soumettent des données comme la page de paiement par exemple. Pourtant, l'utilisation d'une URL https pour une URL de base non sécurisée ne ferait pas de mal

Si vous craignez que des personnes volent des cookies (détournement de session), accédez à System > Configuration > Web > Session Validation Settingset activezValidate REMOTE_ADDR

[MODIFIER] - Crédits à @ AnnaVölkl

  • donc si vous transférez le cookie via HTTP et HTTPS, il est assez facile de voler
  • si vous définissez le cookie sur HTTPS uniquement (la méthode PHP setcookie standard a l'indicateur $ secure, vous perdrez la session lors du passage de http à https. mais c'est sûr bien sûr.

Utiliser HTTP uniquement Détermine si les cookies Magento peuvent être utilisés uniquement sur un canal non sécurisé (http), ou peuvent également être utilisés sur un canal crypté (https). Les options incluent: Oui / Non

il n'y a plus de raison de ne plus utiliser https sur l'ensemble du site: https://istlsfastyet.com

Sander Mangel
la source
Merci pour la réponse, pourriez-vous expliquer ce que cela fait?
Gareth
Il vérifie si l'ID de session dans le cookie correspond à une session stockée + l'adresse IP des utilisateurs qui a été stockée avec cette session. Donc, pour moi, voler votre valeur de cookie ne fonctionnerait pas sans avoir également votre IP
Sander Mangel
Ainsi, cela protégerait contre le vol de cookies sur les réseaux mais pas sur un réseau public. Existe-t-il un moyen d'empêcher cela sur un réseau public sans https complet sur le site
Gareth
Je pense que vous avez raison mais je ne suis pas sûr. J'ai demandé à quelqu'un d'autre de m'aider :)
Sander Mangel
1
@Gareth J'ai mis à jour la réponse avec l'aide d'Anna :)
Sander Mangel