|
| Дата |
|
USD/RUB | 93.4409 | BTC/USD | 64167.1095 |
|
|
|
Поисковые системы Поисковая оптимизация под Google, Yahoo, Bing и т.д. |
02.06.2014, 23:53
|
#1
|
great job!
Регистрация: 28.11.2007
Сообщений: 81
Бабло: $30850
|
HTTP vs. HTTPS (need help)
Есть белый сайт предоставляющий сервис http://site.com, на нем есть блог http://site.com/blog
Для секурности юзердаты сайт решено перенести на https. Как известно https замедляет отдачу страницы (скорость загрузки важна для ранжирования).
Имеет ли смысл:
Опция1: перенести сайт на https, но блог оставить на http ( https://site.com, http://site.com/blog)? При этом мы знаем что для гугла это будет вроде как 2 разных сайта (http и https) даже при том что домен у них один. Получается что наличие блога на сайте для постоянной подпитки свежим контентом теряет смысл?!
Опция 2: Сайт и блог оставляем http, но все формы, где вводится юзердата делаем на https и грузим через js/iframe на сайт.
Опция 3: И сайт и его блог переносим все на https.
ХЗ как лучше поступить. Много где слышу что вот гугл, твиттер и тп перешли на https, и ты переходи. Но их же нельзя брать в пример, т.к. они не зависят от поискового трафика с гугла.
|
|
|
03.06.2014, 02:26
|
#2
|
Senior Member
Регистрация: 23.05.2014
Сообщений: 162
Бабло: $26920
|
Прям так важна, что можно забить на пользователей? Сам гугл переехал целиком и полностью на https, даже теперь трафик между дата-центрами шифрует и тебе советует)
|
|
|
03.06.2014, 02:40
|
#3
|
Senior Member
Регистрация: 18.03.2011
Сообщений: 116
Бабло: $22720
|
вариант 2. Зачем прятать за ссл и так паблик страници. Только формы через которые постают приватные данные нужно секюрить.
__________________
..develop with java...
|
|
|
03.06.2014, 02:44
|
#4
|
great job!
Регистрация: 28.11.2007
Сообщений: 81
Бабло: $30850
ТС -->
|
ТС
Цитата:
Сообщение от dev
вариант 2. Зачем прятать за ссл и так паблик страници. Только формы через которые постают приватные данные нужно секюрить.
|
Ты сталкивался с чемто подобным?
Как лучше подгружать фреймы, через js по факту загрузки страницы или изначально встроить их в DOM html?
|
|
|
03.06.2014, 03:23
|
#5
|
Senior Member
Регистрация: 18.03.2011
Сообщений: 116
Бабло: $22720
|
jquery ajaxForm/ajaxSubmit, и не надо никаких фреймов, только тут надо помнить o Same-origin policy.
Надо будет добавить хидер в респонс сервера
Access-Control-Allow-Origin: _https://www.mysite.com
__________________
..develop with java...
|
|
|
03.06.2014, 03:54
|
#6
|
great job!
Регистрация: 28.11.2007
Сообщений: 81
Бабло: $30850
ТС -->
|
ТС
Цитата:
Сообщение от dev
jquery ajaxForm/ajaxSubmit, и не надо никаких фреймов, только тут надо помнить o Same-origin policy.
Надо будет добавить хидер в респонс сервера
Access-Control-Allow-Origin: _https://www.mysite.com
|
Но если я примощу такую форму на http странице то при сабмите будет произведен http post запрос, а не https, даже если дестинейшном будет https. Т.е. такой пост запрос пошлет незакриптованные данные.
А ведь https нужен как раз чтобы данные на клиенте закриптовались, а на сервере их раскриптовало.
Моя орижинал идея была вфигачить <iframe> в страницу на http://site.com через js, в ифрейм подгрузить httpS://site.com/form.html на которой и будет располагаться форма. Тогда при сабмите формы данные будут отправлены с https страницы. Но с айфреймом косяк то что если это будет скажем авторизация, то она не сможет инициировать редирект юзера в защищенную зону, т.к. в ифрейме технически будет подгружен другой сайт и его js сценарии не смогут выпрыгнуть из iframe на исходную страницу http
|
|
|
03.06.2014, 04:04
|
#7
|
Senior Member
Регистрация: 18.03.2011
Сообщений: 116
Бабло: $22720
|
к черту фреймы. Ты на http странице делаеш формы а постаеш их с помощью jquery по https. Все данные будут переданы криптоваными.
Цитата:
Сообщение от uidge
Но если я примощу такую форму на http странице то при сабмите будет произведен http post запрос, а не https, даже если дестинейшном будет https. Т.е. такой пост запрос пошлет незакриптованные данные.
...
|
Если ты делаеш пост на хттпс почему данные будут незакриптованные?
__________________
..develop with java...
|
|
|
03.06.2014, 04:15
|
#8
|
great job!
Регистрация: 28.11.2007
Сообщений: 81
Бабло: $30850
ТС -->
|
ТС
Цитата:
Сообщение от dev
к черту фреймы. Ты на http странице делаеш формы а постаеш их с помощью jquery по https. Все данные будут переданы криптоваными.
Если ты делаеш пост на хттпс почему данные будут незакриптованные?
|
Потому что страница с которой будет отрабатывать jquery - http. Или неважно на какой он странице загружен? Насколько я понимаю, криптованные данные или нет определяется с какой страницы будет идти запрос, с http или https.
Зачем тогда вообще ajax нужен, почему бы просто формой не слать напрямую на https страницу?
|
|
|
03.06.2014, 05:50
|
#9
|
Senior Member
Регистрация: 18.03.2011
Сообщений: 116
Бабло: $22720
|
Цитата:
Сообщение от uidge
Потому что страница с которой будет отрабатывать jquery - http. Или неважно на какой он странице загружен? Насколько я понимаю, криптованные данные или нет определяется с какой страницы будет идти запрос, с http или https.
|
Неважно на какой странице загружена форма, если ты делаешь регвест на https все данные будут переданы по ссл.
Цитата:
Зачем тогда вообще ajax нужен, почему бы просто формой не слать напрямую на https страницу?
|
можно и так, только в таком случае вся страница будет перегружаться.
__________________
..develop with java...
|
|
|
03.06.2014, 09:08
|
#10
|
great job!
Регистрация: 28.11.2007
Сообщений: 81
Бабло: $30850
ТС -->
|
ТС
Цитата:
Сообщение от dev
Неважно на какой странице загружена форма, если ты делаешь регвест на https все данные будут переданы по ссл.
можно и так, только в таком случае вся страница будет перегружаться.
|
Кул! Спасибо что помог разобраться, дружище!
Пипец, всю сеть перерыл в поисках решения - в бурж вообще везде написано типа все переводите на ssl и все тут. Но, если сайт не публикует юзерконтент, а просто представляет из себя промо сервиса и блог, то необоснованн такой переход.
Да и как подумаю что блог с 6к постов конвертить в ssl... Вроде как ssl не поддерживает браузерное кеширование, получается нагрузка возрастет анриал на серв. Хотя, гугл заявляет, что при переходе gmail полностью на ssl нагрузка на ЦП выросла всего на 1%.
Последний раз редактировалось uidge; 03.06.2014 в 09:20.
|
|
|
|