HTTPS/HTTP absolute URL's? - Softwareontwikkeling

vrijdag 4 maart 2011 10:06

Acties:

Verwijderd

Topicstarter

Ik ben op het moment bezig met een site waarbij secure verbindingen en non-secure verbindingen worden gebruikt. Niet binnen één dezelfde pagina, maar wel qua onderdelen op de site. Je moet je hierbij voorstellen dat het contactformulier via HTTPS loopt (vraag niet waarom) en de sitemap weer via HTTP.

Op de pagina's die secure moeten zijn zit een check waardoor er als je via HTTP de pagina bezoekt je wordt geredirect naar de HTTPS variant.

So far so good maar als je op een HTTPS pagina bent en er worden relatieve URL's gebruikt, dan worden vervolgens de pagina's waarvoor je niet perse een HTTPS verbinding nodig hebt ook via HTTPS geserveerd. Ik vraag me hierbij af of ik dan geen absolute URL's dien te gebruiken zodat de server geen onnodige encryptie hoeft uit te voeren.
Wat ik ook kan doen, is de pagina's die niet perse een HTTPS verbinding nodig hebben, redirecten naar de HTTP variant zoals ik dat ook doe met pagina's die verplicht HTTPS zijn.

Ik vraag me af wat in deze de best practice is.

vrijdag 4 maart 2011 10:11

Acties:

Ventieldopje

I'm not your pal, mate!

Gewoon terug redirecten naar HTTP, scheelt een hoop CPU tijd

Je hoeft denk ik geen absolute URL's te gebruiken, je zou in je pagina's die niet beveiligt hoeven te worden kunnen checken of ze via HTTP of HTTPS worden aangesproken en daar op handelen (doe je gedeeltelijk al?).

Eigenlijk is het dus het zelfde als van HTTP naar HTTPS maar dan andersom

vrijdag 4 maart 2011 10:27

Acties:

Pete

De vraag is, scheelt het echt veel in cpu tijd? Ik zou zelf altijd de mogelijkheid geven om alles in https te serveren. Sommige mensen (zoals ik) vinden dat nu eenmaal prettig.

Daarnaast, pas op dat je geen mixed content op een pagina krijgt. Bijvoorbeeld de html over https, en de plaatjes over http, of een iframe over http. Een aantal browsers geeft dan een "mixed content" waarschuwing.

petersmit.eu

vrijdag 4 maart 2011 10:31

Acties:

mithras

By default redirecten wij van https naar http. Tenzij we op een bepaalde pagina https nodig hebben, dan redirecten we van http naar https.

Hierdoor kan je relatieve url's gebruiken waarna de applicatie afvangt of je http/https moet gebruiken en op welke manier je op dit moment de pagina bezoekt. En afhankelijk daarvan dus wel of niet een redirect uitvoert.

vrijdag 4 maart 2011 10:35

Acties:

Verwijderd

Topicstarter

Het kromme van die redirects, vooral van HTTPS --> HTTP, is dat je overal die headers gaat zetten.. Op zich goed hoor maar het klinkt als een herhalend klusje waarbij ik zelf bij voorbaat al zoiets heb van 'dat moet toch makkelijker kunnen'. Ik was al wél die weg ingeslagen omdat mij dat ook de meest praktische leek maar dan nog.

Over mixed content maak ik me niet druk en is nu ook niet aan de orde.

vrijdag 4 maart 2011 10:36

Acties:

Wolfboy

ubi dubium ibi libertas

De beste optie is om (als je wil redirecten) gewoon absolute urls te gebruiken.

Maar imho moet je gebruikers niet automatisch redirecten van https naar http. Eventueel bij de next knop van het formulier wel ofzo. Maar de server (of pagina) configureren om automatisch een redirect te doen van https naar http geeft je 2 request dus is voor de gebruiker sowieso trager.

Blog [Stackoverflow] [LinkedIn]

vrijdag 4 maart 2011 10:40

Acties:

Erkens

Fotograaf

Pete schreef op vrijdag 04 maart 2011 @ 10:27:
De vraag is, scheelt het echt veel in cpu tijd?

Ja, zeker als je een drukke site hebt

Daarnaast, pas op dat je geen mixed content op een pagina krijgt. Bijvoorbeeld de html over https, en de plaatjes over http, of een iframe over http. Een aantal browsers geeft dan een "mixed content" waarschuwing.

Zorgen dat alle plaatjes/css/javascript etc altijd relatief linkt, dan gaat dat niet fout. Zelf redirect ik over het algemeen niet naar https, als iemand zelf de non-ssl wilt hebben dan kan dat. Ik link wel naar de https indien de actie dat vereist en na afloop terug naar http.

vrijdag 4 maart 2011 11:01

Acties:

Stilgar

Erkens schreef op vrijdag 04 maart 2011 @ 10:40:
[...]

Ja, zeker als je een drukke site hebt

"SSL/TLS is not computationally expensive any more"

vrijdag 4 maart 2011 11:12

Acties:

Pete

Erkens schreef op vrijdag 04 maart 2011 @ 10:40:
[...]

Ja, zeker als je een drukke site hebt

Heb je het ooit gemeten? Hoeveel procent scheelde het?

Zorgen dat alle plaatjes/css/javascript etc altijd relatief linkt, dan gaat dat niet fout. Zelf redirect ik over het algemeen niet naar https, als iemand zelf de non-ssl wilt hebben dan kan dat. Ik link wel naar de https indien de actie dat vereist en na afloop terug naar http.

Als je op een of andere manier de plaatjes gaat redirecten omdat ze niet secure zijn gaat het wel fout.

[ Voor 48% gewijzigd door Pete op 04-03-2011 11:13 ]

petersmit.eu

vrijdag 4 maart 2011 11:18

Acties:

Erkens

Fotograaf

Pete schreef op vrijdag 04 maart 2011 @ 11:12:
Heb je het ooit gemeten? Hoeveel procent scheelde het?

Gemeten niet, wel een keer de sites per ongeluk in https-only gehad en laten we zo zeggen dat de servers het niet meer trokken, de load schoot de lucht in

Als je op een of andere manier de plaatjes gaat redirecten omdat ze niet secure zijn gaat het wel fout.

Waarom zou je die willen redirecten?

vrijdag 4 maart 2011 11:38

Acties:

Wolfboy

ubi dubium ibi libertas

Erkens schreef op vrijdag 04 maart 2011 @ 11:18:
[...]

Gemeten niet, wel een keer de sites per ongeluk in https-only gehad en laten we zo zeggen dat de servers het niet meer trokken, de load schoot de lucht in

Kleine toevoeging hieraan.

Dat SSL niet problematisch _hoeft_ te zijn wil niet zeggen dat het ook niet problematisch is. Afhankelijk van welke random generator je gebruikt, of je wel/geen hardware offloading voor je encryptie hebt en wat andere variabelen heeft het geen impact of toch bijhoorlijk wat.

Waarom zou je die willen redirecten?

Niet uiteraard. Maar als je in je webserver opgeeft dat alle urls moeten worden geredirect dan is het wat vervelend

Blog [Stackoverflow] [LinkedIn]