Quelle est la pratique courante pour le codage d'applications Web où une partie du site doit être sécurisée (par exemple section de paiement) et une partie pas nécessairement, disons page d'accueil? Autant que je sache, les sessions de partage entre les parties HTTP et HTTPS du site ne sont pas facilement possibles (ou est-ce le cas?). Quelle serait l'approche commune si je voulais afficher sur la page HTTP comme page d'accueil, les données de panier (articles) que les utilisateurs ont commandés sur les pages HTTPS? Comment ces deux parties du site communiqueraient-elles si nécessaire? Aussi n'est-ce pas une faille de sécurité dans les paniers populaires car il semble que beaucoup d'entre eux n'ont que des pages de paiement sécurisé (SSL) et le reste pas? J'utilise PHP si cela fait une différence.Comment communiquer/partager une session entre des pages via HTTP et HTTPS
Répondre
La réponse la plus simple est d'avoir tous les liens vers vos pages "sécurisées" lien vers https: //. Évidemment, cela peut être un peu un cauchemar selon le site.
Une autre alternative consiste à mettre en place des règles de réécriture d'URL pour diriger automatiquement les pages sécurisées à https: // si vous essayez d'y accéder via http: //
Découvrez mod_rewrite pour Apache si vous n'êtes pas familier avec le concept. Selon le serveur Web que vous utilisez, d'autres options sont disponibles pour obtenir la même fonctionnalité, mais cela devrait vous donner une idée de vos options. Je suppose que vous utilisez PHP que vous utilisez Apache, mais ne pourrait pas être le cas? Je dirais que c'est probablement l'approche la plus courante. Si toutes les pages sécurisées résident dans un répertoire donné, cela est encore plus facile car vous pouvez écrire des règles pour dire que tout ce répertoire doit être demandé via https: //, sinon http: // convient.
Il est très courant d'utiliser des cookies pour stocker des données de chariot à travers un site. La sécurité n'est pas un problème car vous ne vous préoccupez que de vos données de carte de crédit. La liste des choses que je veux acheter n'est pas particulièrement sensible.
Je peux vous dire ce que j'ai fait pour un site de commerce électronique que j'ai créé à partir de zéro. L'ensemble de son site est HTTP, ce qui inclut la vérification avec un chèque (c.-à-d. Ils remplissent leurs informations, une facture est générée et un chèque est envoyé par la poste au vendeur). Mais, le traitement de la carte de crédit est fait sur le côté de Paypal, qui est HTTPS. Mais, afin d'obtenir les données du panier à Paypal, j'ai utilisé des éléments post cachés, et Paypal a fait le reste.
Pas le meilleur système, mais cela fonctionne.
oui, hébergement partagé sur apache – spirytus