Magento http / https est-il sécurisé ou l'ensemble du site Web doit-il être contraint d'utiliser https?

Je mets en place un site Web magento, mais j'ai remarqué une chose: https ne peut être utilisé que pour du contenu sécurisé tel que des pages de connexion et des détails de compte, etc.

Cela signifie que sur les pages produits, un http standard est utilisé.

Cela ne signifie-t-il pas que le cookie transmis via http est vulnérable à être volé par un programme de détection de cookies?

Ou Magento gère-t-il ces pages en n'envoyant pas de cookie et en obtenant la page par défaut, puis en utilisant un cookie local pour changer l'en-tête pour contenir le nom personnalisé et la photo de profil, etc.

httpsn'est requis que sur les pages qui soumettent des données comme la page de paiement par exemple. Pourtant, l'utilisation d'une URL https pour une URL de base non sécurisée ne ferait pas de mal

Si vous craignez que des personnes volent des cookies (détournement de session), accédez à System > Configuration > Web > Session Validation Settingset activezValidate REMOTE_ADDR

[MODIFIER] - Crédits à @ AnnaVölkl

• donc si vous transférez le cookie via HTTP et HTTPS, il est assez facile de voler
• si vous définissez le cookie sur HTTPS uniquement (la méthode PHP setcookie standard a l'indicateur $ secure, vous perdrez la session lors du passage de http à https. mais c'est sûr bien sûr.

Utiliser HTTP uniquement Détermine si les cookies Magento peuvent être utilisés uniquement sur un canal non sécurisé (http), ou peuvent également être utilisés sur un canal crypté (https). Les options incluent: Oui / Non

il n'y a plus de raison de ne plus utiliser https sur l'ensemble du site: https://istlsfastyet.com