Właśnie dodałem to oprogramowanie pośredniczące SSL do mojej strony http://www.djangosnippets.org/snippets/85/, którego użyłem do zabezpieczenia tylko mojej strony logowania, aby hasła nie były wysyłane w postaci czystego tekstu. Oczywiście, gdy użytkownik nawiguje z dala od tej strony, nagle się wylogował. Rozumiem, dlaczego tak się dzieje, ale czy istnieje sposób przekazania pliku cookie do HTTP, aby pozostać zalogowanym?Django: HTTPS dla strony logowania?
Jeśli nie, czy jest łatwy sposób mogę użyć HTTPS do strony logowania (i może strony rejestracji), a następnie pozostawić go na HTTPS, jeśli użytkownik jest zalogowany, ale wrócić do HTTP, jeśli użytkownik nie loguje się?
Istnieje wiele stron, które są widoczne zarówno dla zalogowanych użytkowników, jak i nie, więc nie mogę po prostu oznaczać niektórych stron jako HTTP lub HTTPS.
Więc ... odpowiedziałeś na swoje pytanie cztery minuty po tym, jak je opublikowałeś ... skończyliśmy? Inna uwaga: czy dobrym pomysłem jest przekazanie tego pliku cookie na niezaszyfrowany HTTP? Czy można go podsłuchać, a następnie sfałszować logowanie innego użytkownika? –
Tak, prawdopodobnie porwali sesję. Kradzież hasła jest prawdopodobnie nieco gorsza niż przejęcie sesji. Postanowiłem jednak włączyć bezpieczne ciasteczka i nic się nie wydarzyło. I pomyślałem o odpowiedzi wkrótce po opublikowaniu, ok? Zostawiłem to na wypadek, gdyby inni ludzie mieli wgląd ... lub chcieli znać odpowiedź. Przeczytaj FAQ, więc zachęca: p – mpen
Oczywiście, kradzież hasła jest gorsza, ale dlaczego nie po prostu uruchomić całą sesję pod HTTPS? –