如果网站只是登录用了 https 但是其他功能还是 http 这样有没有安全问题？

2014 年 8 月 23 日

yakczh

3962 次点击

所在节点

程序员

13 条回复

qq529633582

2014 年 8 月 23 日

中间人可以拿到cookie中的session id

jsonline

2014 年 8 月 23 日

和不用 HTTPS 没区别

jasontse

2014 年 8 月 23 日

拿不到密码但是可以拿到 Session，考虑到 Session 可以随时销毁稍微安全点吧。

niseter

2014 年 8 月 23 日

http://www.google.com/support/chrome/bin/answer.py?answer=95617

gamexg

2014 年 8 月 23 日

拿到 session id 后对方可以以用户的身份进行各种操作了。

azuginnen

2014 年 8 月 23 日

那你改密码改邮箱的操作可以再验证一遍密码呀

maxsec

2014 年 8 月 23 日

建议全站HTTPS
部分页面HTTPS就好比xxoo时前戏完就把TT扔了, 起不到完整的保护作用

要泛证书可以找这个同学买 xoxo

maxsec

2014 年 8 月 23 日

是这个... sorry @xoxo

gihnius

2014 年 8 月 23 日

只保护了密码，很多网站都这样。
条件允许还是建议全站走 https

ytf4425

2014 年 8 月 23 日

全站走 https多好
https是加密传输的，其他页面http也就是说其他页面的传输可能被人看到
另外百度不收录https，但是现在谁还要百度收录啊！

Actrace

2014 年 8 月 23 日

涉及到安全功能的页面必须HTTPS.

mytharcher

2014 年 8 月 23 日

http://fex.baidu.com/blog/2014/06/danger-behind-popup-login-dialog/

结论是要么裸奔，要么全HTTPS

sanddudu

2014 年 8 月 23 日

@ytf4425 只要你用户群体是国内用户就得在乎百度收录
百度不收录 https 原本就是坑，而且居然还没有填上

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/129492

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.