Cytat:
|
nie da się uniknąć linkowania do serwisów bez HTTPS
|
Jeśli za przykład weźmiemy nasze forum, to nie widzę problemu. Chyba jedyną treścią z innych domen, którą userzy mogą wstawiać - to właśnie te obrazki (nie w załączniku, a poprzez "Wstaw obrazek"). I teraz kilka możliwości, przy połączeniu SSL:
1. Skrypt tnie z postów linki img src - proste.
2. Skrypt ładuje hotlinkowany obrazek i wyświetla go z własnej domeny - niebezpieczne z wielu powodów (także prawnych)
i zasobożerne. Jeśli już to ładowanie powinno być do cache + sprawdzanie czy img istnieje (ale to fail, z uwagi na to sprawdzanie)
3. Skrypt ciacha jak w pkt.1, ałe daje ajaxowy box, którym można wyświetlić na żądanie (bez uwierzytelniania).
4. Skrypt ciacha wszelkie obrazki (także avatary, buttony, banery itd), zarówno z domeny jak i spoza - oszczędzamy zasoby, bo SSL to ładnie ssie (zarówno serwer jak i browsera na wolniejszych komputerach). Wszelkie obrazki w postach mogłyby być w ajaxowym boxie (user klika i dopiero widzi - uwierzytelnione, szyfrowane)
Nie jest to kosmos do wdrożenia, w miarę prosta sprawa. Pkt 4 jest najlepszy.
I upieram się, że nie zrobienie powyższego byłoby failem we wdrożeniu zabezpieczenia
To tak jakby założyć kłódkę na drzwi, które z zawiasów wylatują od kopniaka.
O, masz na niebezpieczniku:
http://niebezpiecznik.pl/post/kraty-...ia-w-kartonie/
SSL wdraża się m.in. dla poufności, a co to za poufność gdy ruski serwer widzi, że oglądam cycki w Śmietniku
//edit
inna sprawa to gemiusy, adserwery itd, ale to już osobna sprawa