Mam ekran logowania, który obsługuję przez SSL. Użytkownik wypełnia swój login / hasło, które zostaje POSTed na serwer. W tym momencie chcę wyskoczyć z SSL, więc przekierowuję je z powrotem na tę samą stronę bez SSL.

Powoduje to, że przeglądarka wyświetla okno dialogowe z ostrzeżeniem „Zostaniesz przekierowany na połączenie, które nie jest bezpieczne”. Jak mogę tego uniknąć? Miałem mnóstwo stron takich jak poczta yahoo i gmail, które dają ci stronę SSL do logowania, a następnie wysyłają cię na stronę bez SSL.

Pytanie drugorzędne: jaki jest cel tego okna dialogowego? Próbuje ostrzec mnie przed jakimś nikczemnym celem - ale co jest takiego złego w przekierowywaniu kogoś na stronę bez SSL? Nie otrzymuję ostrzeżenia, gdy jestem na stronie SSL i klikam łącze bez SSL. Czym różni się przekierowanie kogoś?

Robię to w ASP.NET 2.0 - ale uważam, że jest to ogólne pytanie o web dev.

PODSUMOWANIE AKTUALIZACJI: Wydaje się, że popularną odpowiedzią jest „NIE UNIKAJ”. Rozumiem, że użytkownik powinien otrzymać wiadomość, gdy zabezpieczenie zostanie usunięte. Ale nie otrzymuję okna dialogowego, gdy podążam za linkiem, a bezpieczeństwo jest usuwane, więc przynajmniej powiedziałbym, że jest to niespójne.

Wersje okna dialogowego / przeglądarki. Właściwie nie widzę okna dialogowego w IE7 / FF3 (być może kliknąłem pole wyboru uniemożliwiające to). Co ważniejsze klient widzi to w IE6 - bez pola wyboru, aby go usunąć (tak, wiem, że IE6 jest stary i gówniany).

Firefox2:FF2 http://img521.imageshack.us/img521/8455/sslwarning.jpg

IE6:IE6 http://img188.imageshack.us/img188/139/sslwarningie6.jpg

Alternatywą: uczynić cały serwis SSL, nigdy nie przekierowywać użytkownika z SSL. Mógłbym to znieść. Ale mam klienta pół-technicznego, który ma dość dobre punkty:

„SSL spowoduje wzrost ruchu / mocy obliczeniowej”. Naprawdę tego nie kupuję i nie sądzę, by jego witryna wymagała więcej niż jednego pudełka, aby ją obsłużyć.„Yahoo to robi. Yahoo to duża firma techniczna. Czy jesteś mądrzejszy od Yahoo?”

Zamierzam przetransportować klienta do witryny całkowicie SSL. Twierdzę, że podejście Yahoo miało sens w 1996 r. Lub dla witryny, która jest DUŻO bardziej popularna. Pomocne będą niektóre oficjalne linki wyjaśniające, dlaczego to okno dialogowe ma miejsce (tj. Poziom autentyczności Jakoba Nielsena).