原文链接:http://drupal.org/https-information
HTTPS是一个协议加密的HTTP请求(喜欢的那种,你刚才看到这个页面)和他们的反应。这将确保,如果有人能够妥协的要求您的计算机和服务器之间的网络,他们将不能够收听或篡改通信。
当你通过HTTPS访问网站的网址看起来像这样:https://drupal.org/user/login。当你访问一个网站通过纯(未加密)HTTP,它看起来是这样的:http://drupal.org/user/login。
为什么它很重要你(时)
HTTPS通常使用的情况下,用户将敏感信息发送到一个网站,并截取信息,将是一个问题。通常这意味着:
- 信用卡
- PHP会话Cookie中的敏感,如饼干
- 密码和用户名
- 身份信息(社会安全号码,国家身份证号码等)
- 机密内容
尤其是在管理员你发送你的Drupal的密码,或为您的服务器FTP密码的情况下,你应该使用HTTPS尽可能减少影响您的网站的风险。
HTTPS也可以防止窃听者获得您的身份验证的会话密钥,这是从您的浏览器发送一个Cookie,每个站点的请求,并用它来 冒充你。例如,攻击者可能获得管理访问该网站,如果你是一个通过HTTP而不是HTTPS访问该网站的网站管理员。这被称为会话劫持和工具,如可以完成Firesheep。
安全是一个平衡点。服务HTTPS流量费用超过资源的HTTP请求(为服务器和网络浏览器),正因为如此,你不妨使用混合HTTP / HTTPS的网站所有者可以决定哪些网页或者使用者应当使用HTTPS。
如何在Drupal启用HTTPS支持
Web服务器配置
- 获得证书。许多托管服务提供商设置这些为你-自动或收费。简单地问您的托管服务提供商。如果你想确保测试现场,而可以生成一个自签名的证书。
- 配置你的Web服务器。一些有用的链接:
有机会,你的webhost可以为你做这个,如果你正在使用共享或主机托管。
Drupal的配置
-
如果你想支持混合模式HTTPS和HTTP会话打开网站/默认/ settings.php配置,加
元的conf ['HTTPS'] = TRUE;
这使您可以使用HTTP和HTTPS均超过同届会议-但有两个其中的HTTPS的cookie只通过HTTPS发送的cookie。您将需要使用像贡献模块securepages做有用的东西,如通过HTTPS提交等形式,这种模式。虽然你的HTTP cookie的所有通常攻击仍然是脆弱的,被劫持的不安全会话cookie只能被用于获得认证的访问HTTP站点。这不会是有效的HTTPS站点。这是否是一个问题,或不取决于你的网站和各种模块配置的需求。例如,如果一切形式被设置为通过HTTPS,您的访问者可以看到同样的信息作为登录的用户,那么这是不是一个问题。 -
为更好的安全性,离开
$ CONF ['HTTPS'],
默认值(FALSE
),并通过HTTPS发送所有已验证的流量和使用HTTP匿名会话。想再次贡献模块443届会议或安全登录可以帮助你在这里。Drupal 7的自动启用HTTPS站点的session.cookie_secure
PHP配置,这将导致SSL的唯一安全的会话cookie发给浏览器。 - 最可能出现的安全,设置您的网站只使用HTTPS,甚至没有重定向到HTTP响应。HTTPS是脆弱的人在这方面的中间人攻击,如果连接开始前被重定向到HTTPS的HTTP连接。
$ CONF ['HTTPS']
可以留在它的默认值(假
纯HTTPS站点)。你可以从不同的服务器的HTTP站点,只需提供一个纯文本消息,告诉您的用户使用HTTPS。