HTTPS thực hành tốt nhất cho SEO và khả năng sử dụng

8

Xem xét một trang, http://example.comcó thể được xem cả công khai và khi người dùng xác thực. Bây giờ, giả sử bạn kích hoạt HTTPS cho mọi trang khi người dùng đăng nhập vào trang web của bạn, nhưng chỉ khi họ đăng nhập. Trang của bạn, http://example.comgiờ trở thành https://example.comcho tất cả người dùng đã đăng nhập. Nếu người dùng đã đăng nhập đó thích trang của bạn và quyết định liên kết đến nó thông qua một bài đăng trên blog hoặc trang web truyền thông xã hội, rất có thể họ sẽ sử dụng phiên bản HTTPS của URL.

Từ góc độ SEO, chiến lược của bạn để tránh các vấn đề nội dung trùng lặp giữa hai URL là gì?

Điều gì sẽ xảy ra nếu người dùng đến URL HTTPS nhưng chưa đăng nhập hoặc không có tài khoản? Có nên chuyển hướng đến phiên bản HTTP không? Nếu vậy, bạn sẽ xử lý nó như thế nào?

Bản năng của tôi là đối với tất cả các trang có thể được xem cả công khai và khi đăng nhập, trước tiên trang sẽ phát hiện nếu người dùng đăng nhập. Nếu đăng nhập, nó vẫn là HTTPS hoặc sử dụng chuyển hướng 302 từ phiên bản HTTP sang HTTPS. Nếu người dùng chưa đăng nhập và họ đến phiên bản HTTPS của URL, thì nó sử dụng chuyển hướng 301 sang phiên bản HTTP. Tuy nhiên, tôi sẽ hoan nghênh một giải pháp thanh lịch hoặc hiệu quả hơn.

Chỉnh sửa : Tôi đã giả sử rằng nếu người dùng đăng nhập, mọi URL phải là HTTPS (hoặc ít nhất, đó phải là một tùy chọn), nhưng khi tôi đã nghiên cứu thêm một chút, có lẽ giả định đó đã sai. Cách mà tôi thấy mọi người thực hiện là họ chỉ kích hoạt HTTPS cho các trang gửi và nhận dữ liệu nhạy cảm: đăng nhập, kiểm tra giỏ hàng, quản lý hồ sơ người dùng, v.v. Tôi đang cố gắng tìm ra mô hình nào là tốt nhất.

Rõ ràng, Google Mail cung cấp cho người dùng tùy chọn có sử dụng HTTPS trên mỗi trang hay không thông qua cài đặt trong hồ sơ của người dùng. Đó chắc chắn là một tùy chọn, nhưng tôi vẫn cần giải quyết hành vi của các trang có sẵn công khai cho tất cả các trạng thái xác thực.

Bởi vì tôi đang xây dựng một hệ thống quản lý nội dung sẽ được người khác sử dụng, tôi cần đảm bảo rằng tôi hiểu đúng. Những cài đặt nào sẽ có sẵn cho chủ sở hữu trang web? Tại thời điểm này, tôi đang nghĩ rằng kiểm soát chi tiết đối với từng trang (dù nó có được bảo mật bằng SSL hay không) và sau đó cho toàn bộ trang web. Tuy nhiên, việc đưa ra mức kiểm soát đó có thể là một sai lầm nếu mọi người không hiểu tất cả các vấn đề và cuối cùng có thể gây ra các vấn đề bảo mật. Đó, có lẽ, là vấn đề đầu tiên. Mức độ kiểm soát thích hợp và mặc định thông minh là gì? Thứ hai là cách các trang nên hoạt động cho người dùng. Từ góc độ SEO, tôi nghĩ rằng quá trình tôi đã mô tả ở trên hoặc sử dụngrel="canonical" (như jmb đề xuất) sẽ hoạt động, nhưng đóng đinh hành vi của trang để nó an toàn và liền mạch là điều cần thiết.

seo  https  usability  http  best-practices 
Truyền thông Virtuosi
nguồn

Câu trả lời:

6

Bạn có thể muốn xem xét <link rel="canonical" />. Xem http://googlewebmastercentral.blogspot.com/2009/02/specify-your-canonical.html . Nhận xét của ai đó từ Google nói rằng nó có thể được sử dụng cho các vấn đề http / https.

Hãy cẩn thận: Tôi không chắc chắn nếu và ở mức độ nào <link rel="canonical" />được hỗ trợ bởi các công cụ tìm kiếm khác ngoài Google, Yahoo và Bing. Nếu các công cụ khác quan trọng đối với trang web của bạn, bạn nên kiểm tra Câu hỏi thường gặp của họ.

Từ góc độ người dùng: Chuyển hướng người dùng đã đăng nhập từ http sang https là không an toàn (nếu tôi hiểu chính xác rằng bạn muốn tạo một quy trình liền mạch). Tại thời điểm anh ta đến trang web (trước khi chuyển hướng), anh ta sẽ chuyển cookie phiên của mình qua http, khiến anh ta dễ bị tấn công phiên. Người dùng như vậy cần đăng nhập lại từ trang https.

Trong trường hợp người dùng đến qua https và không đăng nhập: Tùy thuộc vào hoàn cảnh (kích thước của trang web, lưu lượng truy cập dự kiến, số lần dự kiến ​​sẽ xảy ra), bạn có thể chỉ cần giữ anh ta trên https. Đồng thời xem HTTPS cho toàn bộ trang web/programming/174348/will-web-browsers-cache-content-over-https để thảo luận về việc chạy một trang web trên https (một phần trong trường hợp của bạn).

Cập nhật:

Mức độ kiểm soát thích hợp và mặc định thông minh là gì?

Mức độ kiểm soát phù hợp:

  • Bảo mật (https được bật, bao gồm trang đăng nhập và mọi thứ từ đó trở đi)

  • Không an toàn (không có https).

Không có trung gian nếu bạn muốn "làm cho đúng". Đồng thời xem http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea//programming/274274/is-it-secure-to-submit -from-a-http-form-to-https

Mặc định: Phụ thuộc vào khách hàng của bạn là ai.

jmb
nguồn
Tôi đã suy nghĩ về điều này như là một lựa chọn là tốt. Lý do tại sao tôi không chắc chắn về điều đó là vì, trong khi nó giải quyết vấn đề SEO, nó không giải quyết cách trang hoạt động cho người dùng. Có suy nghĩ gì không?
Truyền thông Virtuosi
Điểm tốt, tôi cập nhật câu trả lời của tôi.
jmb
Việc tạo lại phiên trên mỗi tải trang sẽ giải quyết vấn đề chiếm quyền điều khiển phiên?
Virtuosi Media
Cảm ơn. Thêm một câu hỏi: Bạn nghĩ mọi người sẽ xem một CMS yêu cầu chứng chỉ SSL như thế nào nếu họ chấp nhận đăng ký người dùng?
Truyền thông Virtuosi
Tôi nghĩ rằng rất nhiều phụ thuộc vào đối tượng mục tiêu. Các ngân hàng sẽ coi đó là một yêu cầu, ngay cả trong các lĩnh vực không cốt lõi không liên quan đến thông tin tài chính. Một tổ chức phi lợi nhuận trên ngân sách có thể sẽ nhăn mặt về chi phí và độ phức tạp bổ sung.
jmb
2

Không có chiến lược SEO cho các trang SSL. Một phần định nghĩa của bộ nhớ đệm là thế này:

If the request is authenticated or secure (i.e., HTTPS), it won’t be cached.

xem: hướng dẫn lưu trữ

Vì vậy, để ngăn chặn sự trùng lặp với các trang không có SSL nơi điều này có thể ảnh hưởng đến thứ hạng, là phải có các trang nhạy cảm với SSL của bạn trên các URL hoàn toàn khác nhau.

Trớ trêu thay, tôi đã thấy các công cụ tìm kiếm thực sự lưu trữ và giữ liên kết với url HTTPS trong đó. Điều này trái với những gì thường xảy ra, nhưng trong trường hợp trang là khu vực đăng nhập, là trang chủ hoặc nếu không thì pragma được ghi lại để cho phép lưu vào bộ đệm. Tôi sẽ nói tránh điều này nếu có thể, vì trang của bạn sẽ thường rơi vào PageRank.

Talvi Watia
nguồn
1
Cảm ơn, Talvi, nhưng tôi nghĩ rằng bạn có thể đã hiểu nhầm câu hỏi của tôi, đó không phải là về bộ nhớ đệm trình duyệt. Vì các công cụ tìm kiếm thực hiện thu thập dữ liệu và lập chỉ mục các trang https, điều đó có nghĩa là bạn đang phải đối mặt với các vấn đề nội dung trùng lặp nếu có ai đó liên kết với phiên bản https. Thay đổi URL không giúp ích gì vì http và https đã là hai URL khác nhau trong mắt công cụ tìm kiếm. Với các URL khác nhau, bạn đang phân chia PageRank một cách hiệu quả. Trọng tâm của câu hỏi của tôi là làm thế nào người ta có thể phát triển một chiến lược để tránh vấn đề trùng lặp nội dung. Thật không may, tôi không nghĩ rằng liên kết bộ nhớ đệm giúp giải quyết điều này.
Virtuosi Media
Tôi đồng ý với Virtuosi Media - Các công cụ tìm kiếm thường không gặp vấn đề gì với https: // - URL.
John Mueller
1
@virtuosi Bạn đã đưa tôi đến đó. Bludgeon công cụ tìm kiếm với một đối tượng cùn có thể?
Talvi Watia
2

Chuyển hướng 302 không chuyển thứ hạng tìm kiếm - vì vậy bạn có thể mất thứ hạng tìm kiếm nếu bạn tập trung 302 trang web của mình.

301 có thể thay đổi định nghĩa dấu trang, tôi sẽ không muốn liên tục 301 người dùng của mình xung quanh.

Ngoài ra, hãy đảm bảo phiên bản http bao gồm một hình thức đăng nhập để người dùng có thể nhanh chóng quay lại phiên bản https.

Bây giờ câu hỏi lớn là - nếu dữ liệu có thể xem được qua http tại sao bạn có phiên bản https? bạn đang ẩn dữ liệu nào với mã hóa https chưa có ngoài đó?

Bạn có thể tạo một khu vực thành viên https hoặc đăng các biểu mẫu lên url url từ trang http hoặc nhiều tùy chọn khác không bao gồm toàn bộ trang web trên cả http và https.

Ngoài ra, ý tưởng của bạn có vẻ khả thi - nhưng tôi không có thông tin bên trong về cách Google và các trang web khác hoạt động và bạn thực sự không thể chắc chắn điều này sẽ ảnh hưởng đến thứ hạng của bạn như thế nào (và trường hợp cạnh như vậy có thể cũng thay đổi mạnh mẽ bất cứ khi nào Google cập nhật thuật toán).

Niết
nguồn
Tôi đoán rằng tôi đã giả sử rằng nếu người dùng đăng nhập, mọi URL sẽ là https, nhưng khi tôi đã nghiên cứu thêm một chút, có lẽ giả định đó là sai. Cách mà tôi thấy mọi người thực hiện là họ chỉ kích hoạt https cho các trang gửi và nhận dữ liệu nhạy cảm: đăng nhập, kiểm tra giỏ hàng, quản lý hồ sơ người dùng, v.v. Tôi đang cố gắng tìm ra mô hình nào là tốt nhất. Bởi vì tôi đang xây dựng một hệ thống quản lý nội dung sẽ được người khác sử dụng, tôi cần đảm bảo rằng tôi hiểu đúng.
Truyền thông Virtuosi
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.