Тестирование сайта при переходе на https

karueglazki · 13.Сентябрь.2016 14:12:19

Добрый день.
Вопрос знатокам:
Подскажите, на какие моменты нужно обратить внимание при тестирование сайта, когда идет переход с http на https ?

Если часть сайта перенесена на https?
Есть какие-то нюансы/тонкости если есть платежная система?

5am · 13.Сентябрь.2016 14:22:58

на вскидку
актуальность сертификата
отсутствие ресурсов подгружаемых по http (скрипты, картинки, etc)

karueglazki · 13.Сентябрь.2016 14:39:17

а проверку скриптов, можно проверить только в ручную пройдясь по страничкам? или есть какой-то быстрый способ?

Если есть платежная система, есть какие-то нюансы?

Слышала пример, что заюзали https, но при передаче юзали http. как такое можно проверить? или отслеживать?

5am · 13.Сентябрь.2016 19:46:54

я проверял вручную и давно (если не ошибаюсь, браузер начинается ругаться в консоле/в адресной строке) что на странице присутствуют ресурсы подгружаемые по http
не могу дать конкретного ответа
если я правильно понял, то, думаю что будет достаточно проверить (в нетворке браузера, фидлере и т.п.) что формы POST’ятся по https’у

возможно стоит проверить что идет редирект на https при попытке открыть сайт/продукт по http ссылке
можете погуглить на тему: “как перенести сайт на https” и подчерпнуть оттуда идеи для проверок

5am · 14.Сентябрь.2016 10:07:28

update по п 2. - не совсем по теме https’а, но такие вещи как XSS, CSRF - чекнуть стоит.

saw_tooth · 14.Сентябрь.2016 23:28:07

открываешь консоль браузера, и смотришь на коды ошибок - не должно быть варнингов, крос-ответов и прочего.

5am · 15.Сентябрь.2016 12:44:28

с 10 минуты

arturk · 15.Сентябрь.2016 13:07:38

Да любая прокся с настройками поможет отловить не SSL трафик. Тот же Fiddler при установке филльтра ресурсов на http:// отловит всё необходимое. Для скриптования можно юзать tcpdump.
Нюансов уйма. Кукисы, токены, шифрования, книжка с полным описанием страниц на 1500-2000 потянет.
ШИфрование можно отключать на сервере… будет забавно если можно отключить или понищить версию на клиенте… При передаче отключаете, клиент при приеме включает. Можно использовать transparent проксю, чтобы отслеживать запросы.

Вобщем, ваш вопрос звучит примерно как “Перехожу с велосипеда на самолет, на какие моменты стоит обратить внимание”. Для начала на TCP/IP, потом на HTTP, потом на SSL/TLS, потом на HTTPS, потом на Owasp top ten, потом на остальное в owasp.