Misturando conteúdo seguro e não seguro em páginas da Web - é uma boa ideia?

9

Estou tentando encontrar maneiras de acelerar meu site seguro. Como há muitas imagens CSS que precisam ser carregadas, ela pode tornar o site mais lento, pois os recursos seguros não são armazenados em cache no disco pelo navegador e devem ser recuperados com mais frequência do que realmente precisam.

Uma coisa que eu estava considerando talvez seja mover imagens baseadas em estilo e bibliotecas de JavaScript para um subdomínio não seguro, para que o navegador possa armazenar em cache esses recursos que não representam um risco de segurança (um gradiente não é exatamente sensível material).

Eu queria ver o que outras pessoas pensavam em fazer algo assim. Essa é uma ideia viável ou devo otimizar meu site de outras maneiras, como usar CSS sprite-maps, etc. para reduzir solicitações e largura de banda?

    
por Dan Herbert 12.12.2008 в 04:46
fonte

4 respostas

2

Os navegadores (especialmente o IE) se irritam com isso e alertam os usuários de que há conteúdo misto na página. Nós tentamos e tivemos alguns usuários ligando para questionar a segurança do nosso site. Eu não recomendaria isso. Ter usuários perdendo a sensação de segurança ao usar seu site não vale a pena.

    
por Chris Van Opstal 12.12.2008 / 04:51
fonte
1

Não misture conteúdo, não há nada mais irritante do que ter que clicar no botão yes nessa caixa de diálogo. Eu gostaria que o IE me permitisse sempre selecionar sites de conteúdo misto. Como Chris disse, não faça isso.

Se você quiser otimizar seu site, existem muitas maneiras, se SSL for o único caminho que resta comprar um acelerador de hardware .... hmmm se você carregar uma imagem usando http, ela será armazenada em cache se você a carregar com https ? Apenas uma pergunta a parte que preciso descobrir.

    
por JoshBerke 12.12.2008 / 05:40
fonte
0

Lembre-se de que, no IE 7, há problemas com a mistura de itens seguros e não seguros na mesma página, portanto, isso pode fazer com que alguns usuários não consigam visualizar todo o conteúdo de suas páginas corretamente. Não que eu apoie o IE 7, mas recentemente eu tive que olhar para essa questão, e é uma dor para lidar com isso.

    
por Elie 12.12.2008 / 04:52
fonte
0

Isso não é aconselhável. A razão pela qual os navegadores lhe dão problemas com conteúdo inseguro em páginas seguras é que ele expõe informações sobre a sessão atual e deixa você vulnerável a ataques man-in-the-middle. Eu admito que provavelmente não há muito o que uma terceira parte poderia fazer para detectar informações veneráveis se o único conteúdo inseguro for imagens, mas o CSS pode conter referências a javascript / vbscript por meio de arquivos de comportamento (IE). Se o seu javascript for exibido de forma insegura, não há muito o que fazer para evitar que um script rouge raspe sua página em um momento inoportuno.

Na melhor das hipóteses, você pode conseguir um jeito de criar conteúdo seguro para manter a aparência. Como consumidor eu realmente não gosto disso, mas como desenvolvedor web eu tive que fazer isso antes devido a nenhuma outra opção pragmática. Mas, francamente, há tantos, senão mais defeitos, com isso também, afinal, você espera que algo não viole a integridade do conteúdo inseguro para que ele possa hospedar o conteúdo seguro e não algum conteúdo alternativo .

Não é uma ótima ideia do ponto de vista da segurança.

    
por JayC 13.03.2012 / 17:13
fonte