Je viens d'ajouter ce middleware SSL à mon site http://www.djangosnippets.org/snippets/85/ que j'ai utilisé pour sécuriser uniquement ma page de connexion afin que les mots de passe ne soient pas envoyés en clair. Bien sûr, lorsque l'utilisateur quitte cette page, il est soudainement déconnecté. Je comprends pourquoi cela se produit, mais existe-t-il un moyen de passer le cookie à HTTP afin que les utilisateurs puissent rester connectés? Si ce n'est pas le cas, y a-t-il un moyen simple d'utiliser HTTPS pour la page de connexion (et peut-être la page d'enregistrement), puis de rester sur HTTPS si l'utilisateur est connecté? ne se connecte pas?Django: HTTPS pour juste la page de connexion?
Il y a beaucoup de pages qui sont visibles à la fois pour les utilisateurs connectés et non, donc je ne peux pas simplement désigner certaines pages comme HTTP ou HTTPS.
Alors ... vous avez répondu à votre question quatre minutes après l'avoir posté ... avons-nous fini ici? Sur une autre note, est-ce une bonne idée de passer ce cookie par HTTP non crypté? Pourrait-il être reniflé et ensuite utilisé pour usurper la connexion de l'autre utilisateur? –
Ouais ... ils pourraient probablement détourner la session. Voler un mot de passe est probablement un peu pire que de détourner une session. J'ai décidé d'activer les cookies sécurisés et rien n'a explosé. Et j'ai pensé à la réponse peu après l'avoir publiée, d'accord? Je l'ai laissé dans le cas où d'autres personnes ont eu un aperçu ... ou veulent connaître la réponse. Lisez la FAQ, SO l'encourage: p – mpen
Bien sûr, voler un mot de passe est pire, mais pourquoi ne pas simplement exécuter la session entière sous HTTPS? –