Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Olá galera,
To com umas dúvidas em relação a segurança (estou desenvolvendo um site ecommerce, sou inexperiente).
Em quais páginas eu deveria usar o protocolo HTTPS para segurança do usuário? (imagino que seja na página de "login", "cadastro de usuário", e "finalizar compra" (boleto, cartão de crédito, etc)???
Porém caso sejam essas páginas mesmo, eu já adianto que o login e senha do usuário eu iria deixar em uma $_SESSION.
Mas como a session esta disponível em todas as páginas que iniciam uma sessão, então surge outra dúvida:
Pode alguém roubar o login e senha do usuário (além de outras coisas), caso isso fique na $_SESSION, ou alguém só irá interceptar essa informação quando houvesse um $_POST do usuário e senha do meu cliente???
após a pessoa logar precisarei constantemente verificar nas páginas de categoria e compra se é ela mesma que está logada, pois mostrarei alguns produtos personalizados.
porém é impraticável colocar o https em todas as páginas por causa do trabalho extra de criptografia dele.
(Eserra) Pensei em guardar uma session apenas com o status logado, mas se você disse que uma pessoa pode roubar a session, então acredito que ela também possa adulterar ela e burlar o login (ou seja, não funcionaria por que o invasor só teria de trocar o status).
Como eu poderia fazer nesse caso?
Basicamente você deve usar https nas páginas onde houver troca de informações, exatamente as que você citou.
Quanto a guardar a senha do usuário na sessão, qual a utilidade disto?
Sim, alguém pode roubar os dados da sessão, inclusive roubar a sessão em si, simulando o computador de outra pessoa.