Изменение структуры сайта + переход на https

[uidge]

Есть белый сайт предоставляющий сервис http://site.com, на нем есть блог http://site.com/blog

Для секурности юзердаты сайт решено перенести на https. Как известно https замедляет отдачу страницы (скорость загрузки важна для ранжирования).

Имеет ли смысл:

Опция1: перенести сайт на https, но блог оставить на http (https://site.com, http://site.com/blog)? При этом мы знаем что для гугла это будет вроде как 2 разных сайта (http и https) даже при том что домен у них один. Получается что наличие блога на сайте для постоянной подпитки свежим контентом теряет смысл?!

Опция 2: Сайт и блог оставляем http, но все формы, где вводится юзердата делаем на https и грузим через js/iframe на сайт.

Опция 3: И сайт и его блог переносим все на https.

ХЗ как лучше поступить. Много где слышу что вот гугл, твиттер и тп перешли на https, и ты переходи. Но их же нельзя брать в пример, т.к. они не зависят от поискового трафика с гугла.

[Cttr]

Прям так важна, что можно забить на пользователей? Сам гугл переехал целиком и полностью на https, даже теперь трафик между дата-центрами шифрует и тебе советует)

[dev]

вариант 2. Зачем прятать за ссл и так паблик страници. Только формы через которые постают приватные данные нужно секюрить.

[uidge]

Цитата:

Сообщение от dev

вариант 2. Зачем прятать за ссл и так паблик страници. Только формы через которые постают приватные данные нужно секюрить.

Ты сталкивался с чемто подобным?
Как лучше подгружать фреймы, через js по факту загрузки страницы или изначально встроить их в DOM html?

[dev]

jquery ajaxForm/ajaxSubmit, и не надо никаких фреймов, только тут надо помнить o Same-origin policy.

Надо будет добавить хидер в респонс сервера
Access-Control-Allow-Origin: _https://www.mysite.com

[uidge]

Цитата:

Сообщение от dev

jquery ajaxForm/ajaxSubmit, и не надо никаких фреймов, только тут надо помнить o Same-origin policy.

Надо будет добавить хидер в респонс сервера
Access-Control-Allow-Origin: _https://www.mysite.com

Но если я примощу такую форму на http странице то при сабмите будет произведен http post запрос, а не https, даже если дестинейшном будет https. Т.е. такой пост запрос пошлет незакриптованные данные.

А ведь https нужен как раз чтобы данные на клиенте закриптовались, а на сервере их раскриптовало.

Моя орижинал идея была вфигачить <iframe> в страницу на http://site.com через js, в ифрейм подгрузить httpS://site.com/form.html на которой и будет располагаться форма. Тогда при сабмите формы данные будут отправлены с https страницы. Но с айфреймом косяк то что если это будет скажем авторизация, то она не сможет инициировать редирект юзера в защищенную зону, т.к. в ифрейме технически будет подгружен другой сайт и его js сценарии не смогут выпрыгнуть из iframe на исходную страницу http

[dev]

к черту фреймы. Ты на http странице делаеш формы а постаеш их с помощью jquery по https. Все данные будут переданы криптоваными.

Цитата:

Сообщение от uidge

Но если я примощу такую форму на http странице то при сабмите будет произведен http post запрос, а не https, даже если дестинейшном будет https. Т.е. такой пост запрос пошлет незакриптованные данные.

...

Если ты делаеш пост на хттпс почему данные будут незакриптованные?

[uidge]

Цитата:

Сообщение от dev

к черту фреймы. Ты на http странице делаеш формы а постаеш их с помощью jquery по https. Все данные будут переданы криптоваными.

Если ты делаеш пост на хттпс почему данные будут незакриптованные?

Потому что страница с которой будет отрабатывать jquery - http. Или неважно на какой он странице загружен? Насколько я понимаю, криптованные данные или нет определяется с какой страницы будет идти запрос, с http или https.

Зачем тогда вообще ajax нужен, почему бы просто формой не слать напрямую на https страницу?

[dev]

Цитата:

Сообщение от uidge

Потому что страница с которой будет отрабатывать jquery - http. Или неважно на какой он странице загружен? Насколько я понимаю, криптованные данные или нет определяется с какой страницы будет идти запрос, с http или https.

Неважно на какой странице загружена форма, если ты делаешь регвест на https все данные будут переданы по ссл.

Цитата:

Зачем тогда вообще ajax нужен, почему бы просто формой не слать напрямую на https страницу?

можно и так, только в таком случае вся страница будет перегружаться.

[uidge]

Цитата:

Сообщение от dev

Неважно на какой странице загружена форма, если ты делаешь регвест на https все данные будут переданы по ссл.

можно и так, только в таком случае вся страница будет перегружаться.

Кул! Спасибо что помог разобраться, дружище!

Пипец, всю сеть перерыл в поисках решения - в бурж вообще везде написано типа все переводите на ssl и все тут. Но, если сайт не публикует юзерконтент, а просто представляет из себя промо сервиса и блог, то необоснованн такой переход.

Да и как подумаю что блог с 6к постов конвертить в ssl... Вроде как ssl не поддерживает браузерное кеширование, получается нагрузка возрастет анриал на серв. Хотя, гугл заявляет, что при переходе gmail полностью на ssl нагрузка на ЦП выросла всего на 1%.