Hej!
Har satt upp SSL i en Asp.Net applikation & har ett par funderingar.

1) På vilket sätt bör man lägga upp inloggningssidorna i IIS´en. Bör man lägga dem under en egen Website eller är det vettigt att lägga dem bland de andra sidorna. Vad jag har fattat de så måste de iallafall ligga i en särskild mapp då man sätter "Require ssl" på mappnivå eller?

2) Om jag har ssl på inloggningssidan endast, har jag då en säker applikation eller finns de risk att cookien sniffas upp o inloggningsuppgifter läcker efter att man är inloggad? För man vill väl bara har ssl på själv inloggningen, sen vill man väl köra http för att få bättre speed?

Mvh
/ Stefan

Hej, vet inte om jag har några bra svar här - kan nog bara kommentera lite.

Om du lägger själva inloggningen under https eller egen webbsite så kommer du inte att kunna dela med dig av sessionen om du hoppar mellan domäner. Då faller samma problem med cookies - de kan inte heller läsas från olika domäner, ex http och https. Precis som du säger så är SSL ett sätt att göra själva inloggningen säkrare eftersom användarnamn och lösen skickas i klartext annars. Frågan är väl också kanske hur känslig din site är.

När det gäller speed på https så är det mycket riktigt långsammare eftersom det är krypterad data som skickas mellan klient och server.