Mezcla de contenido seguro y no seguro en páginas web: ¿es una buena idea?

Question

Estoy tratando de encontrar formas de acelerar mi sitio web seguro. Como hay muchas imágenes de CSS que deben cargarse, puede ralentizar el sitio, ya que el navegador no almacena en caché los recursos seguros y debe recuperarse con más frecuencia de la que realmente necesitan.

Una cosa que estaba considerando es mover las imágenes basadas en estilos y las bibliotecas de JavaScript a un subdominio no seguro para que el navegador pueda almacenar estos recursos que no representan un riesgo para la seguridad (un gradiente no es exactamente material sensible).

Quería ver lo que otras personas pensaban sobre hacer algo como esto. ¿Es esta una idea factible o debería optimizar mi sitio de otras formas como usar mapas de sprites CSS, etc. para reducir las solicitudes y el ancho de banda?

Answer 1

Los navegadores (especialmente IE) se ponen nerviosos al respecto y alertan a los usuarios que hay contenido mixto en la página. Lo intentamos y tuvimos un par de usuarios que llamaron para cuestionar la seguridad de nuestro sitio. No lo recomendaría. Hacer que los usuarios pierdan su sentido de seguridad al usar su sitio no vale la velocidad agregada.

Answer 2

Tenga en cuenta que en IE 7 existen problemas para mezclar elementos seguros y no seguros en la misma página, por lo que algunos usuarios no podrán ver todo el contenido de sus páginas correctamente. No es que yo admita IE 7, pero recientemente tuve que analizar este problema, y ​​es un dolor tratar con él.

Answer 3

No mezcle el contenido, no hay nada más molesto que tener que ir y haga clic en el botón sí en ese cuadro de diálogo. Ojalá IE me permitiera seleccionar siempre mostrar sitios de contenido mixto. Como dijo Chris, no lo hagas.

Si desea optimizar su sitio, hay muchas formas, si SSL es la única forma que queda de comprar un acelerador de hardware .... hmmm si carga una imagen usando http, se almacenará en caché si la carga con https? Solo una pregunta secundaria que necesito averiguar.

Answer 4

Esto no es aconsejable en absoluto. La razón por la que los navegadores te dan tantos problemas sobre contenido inseguro en páginas seguras es que expone información sobre la sesión actual y te deja vulnerable a los ataques de intermediario. Admitiré que probablemente no haya mucho que un tercero pueda hacer para olfatear información venerable si el único contenido protegido es imágenes, pero CSS puede contener referencias a javascript/vbscript a través de archivos de comportamiento (IE). Si su javascript se sirve de forma insegura, no hay mucho que se pueda hacer para evitar que un script de rouge elimine su página web en un momento inoportuno.

En el mejor de los casos, es posible que tenga una forma de mantener el contenido seguro para mantener la apariencia. Como consumidor, realmente no me gusta, pero como desarrollador web he tenido que hacer eso antes debido a que no hay otras opciones pragmáticas. Pero, francamente, hay tantos o más defectos con eso, también, ya que, después de todo, espera que algo no viole la integridad del contenido inseguro para que pueda albergar el contenido seguro y no algunos contenido alternativo.

No es una gran idea desde el punto de vista de la seguridad.