僕自身もそう思っていたのですが、 ところがどっこい、最近は常時SSL化することが流行だそうです。 理由は様々あるようですが、一般的な理由としては、Cookieを盗聴されてセッションをハイジャックされるというのを防ぐということでしょうか。 うちの場合、 ・ログイン画面等のセキュアにしたいところだけセキュアにするというのはWEBアプリの改修が必要 ・そもそもSSL化でパフォーマンスが悪化するほどPV数が多くない ・リバースプロキシとアプリケーションサーバーのサーバー機が分かれている (SSL化によってアプリケーションのパフォーマンスそのものには影響が少ない) ということから、常時SSL化を決めました。
フォロー
こうしす!ch
(著者)
僕自身もそう思っていたのですが、
ところがどっこい、最近は常時SSL化することが流行だそうです。
理由は様々あるようですが、一般的な理由としては、Cookieを盗聴されてセッションをハイジャックされるというのを防ぐということでしょうか。
うちの場合、
・ログイン画面等のセキュアにしたいところだけセキュアにするというのはWEBアプリの改修が必要
・そもそもSSL化でパフォーマンスが悪化するほどPV数が多くない
・リバースプロキシとアプリケーションサーバーのサーバー機が分かれている
(SSL化によってアプリケーションのパフォーマンスそのものには影響が少ない)
ということから、常時SSL化を決めました。