你在这里

启用HTTP安全(HTTPS)

原文链接:http://drupal.org/https-information

 

HTTPS是一个协议加密的HTTP请求(喜欢的那种,你刚才看到这个页面)和他们的反应。这将确保,如果有人能够妥协的要求您的计算机和服务器之间的网络,他们将不能够收听或篡改通信。

当你通过HTTPS访问网站的网址看起来像这样:https://drupal.org/user/login当你访问一个网站通过纯(未加密)HTTP,它看起来是这样的:http://drupal.org/user/login

为什么它很重要你(时)

HTTPS通常使用的情况下,用户将敏感信息发送到一个网站,并截取信息,将是一个问题。通常这意味着:

  • 信用卡
  • PHP会话Cookie中的敏感,如饼干
  • 密码和用户名
  • 身份信息(社会安全号码,国家身份证号码等)
  • 机密内容

尤其是在管理员你发送你的Drupal的密码,或为您的服务器FTP密码的情况下,你应该使用HTTPS尽可能减少影响您的网站的风险。

HTTPS也可以防止窃听者获得您的身份验证的会话密钥,这是从您的浏览器发送一个Cookie,每个站点的请求,并用它来 ​​冒充你。例如,攻击者可能获得管理访问该网站,如果你是一个通过HTTP而不是HTTPS访问该网站的网站管理员。这被称为会话劫持和工具,如可以完成Firesheep

安全是一个平衡点。服务HTTPS流量费用超过资源的HTTP请求(为服务器和网络浏览器),正因为如此,你不妨使用混合HTTP / HTTPS的网站所有者可以决定哪些网页或者使用者应当使用HTTPS。

如何在Drupal启用HTTPS支持

Web服务器配置

  1. 获得证书许多托管服务提供商设置这些为你-自动或收费。简单地问您的托管服务提供商。如果你想确保测试现场,而可以生成一个自签名的证书。
  2. 配置你的Web服务器。一些有用的链接:

    有机会,你的webhost可以为你做这个,如果你正在使用共享或主机托管。

Drupal的配置

  • 如果你想支持混合模式HTTPS和HTTP会话打开网站/默认/ settings.php配置,加<font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; "><font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; ">元的conf [&#39;HTTPS&#39;] = TRUE; </font></font>这使您可以使用HTTP和HTTPS均超过同届会议-但有两个其中的HTTPS的cookie只通过HTTPS发送的cookie。您将需要使用像贡献模块securepages做有用的东西,如通过HTTPS提交等形式,这种模式。虽然你的HTTP cookie的所有通常攻击仍然是脆弱的,被劫持的不安全会话cookie只能被用于获得认证的访问HTTP站点。这不会是有效的HTTPS站点。这是否是一个问题,或不取决于你的网站和各种模块配置的需求。例如,如果一切形式被设置为通过HTTPS,您的访问者可以看到同样的信息作为登录的用户,那么这是不是一个问题。

  • 为更好的安全性,离开<font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; "><font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; ">$ CONF [&#39;HTTPS&#39;],</font></font>默认值(<font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; "><font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; ">FALSE</font></font>),并通过HTTPS发送所有已验证的流量和使用HTTP匿名会话。想再次贡献模块443届会议安全登录可以帮助你在这里。Drupal 7的自动启用HTTPS站点<font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; "><font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; ">session.cookie_secure</font></font> PHP配置,这将导致SSL的唯一安全的会话cookie发给浏览器。

  • 最可能出现的安全,设置您的网站只使用HTTPS,甚至没有重定向到HTTP响应。HTTPS是脆弱的人在这方面的中间人攻击,如果连接开始前被重定向到HTTPS的HTTP连接。<font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; "><font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; ">$ CONF [&#39;HTTPS&#39;]</font></font>可以留在它的默认值(<font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; "><font style="border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: transparent; font-size: 12px; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: baseline; background-position: initial initial; background-repeat: initial initial; ">假</font></font>纯HTTPS站点)。你可以从不同的服务器的HTTP站点,只需提供一个纯文本消息,告诉您的用户使用HTTPS。