アプリケーションでのSSLリンク戦略

Question

特定のアプリケーションでは、一部のページを保護する必要があり、他のメンバーは保護しない場合、他の人が行うことを聞くことに興味があります。別のドメイン/サブドメインが必要なテーブルから任意のソリューションを取り出します。この場合、すべてのコール（安全なまたは安全でない）は同じドメインにリンクします。いくつかのオプションが表示されます：

1. ハムフィストのすべてのアプローチを保護します。
2. セキュリティ保護が必要なページをhttpsプロトコルで確実にアクセスし、他のページを無視するか、標準HTTPに強制するURI書き換えソリューション
3. 各リンクが責任を負うアプリケーション中心のアプローチ指しているかどうかを知り、正しいプロトコルを適用する。このソリューションでは、すべてのリンクを完全修飾する必要があります。
4. セキュアなページへのリンクが完全修飾されており、他のページへのリンクがそうでないアプリケーション中心のアプローチの自由なバージョンです。この場合、プロトコルは明示的に処理されないページに対して継承され、重要でないページはhttpsを介してアクセスされる可能性があります。

私は時々これらのいくつかを使用しましたが、それらにはすべて欠点があります。このような状況で他の人たちは何をしていますか？私が考えていない別の道がありますか？

UPDATE：以下

vartecの答えは、私は情報の一つの重要な部分を残しだろうと実感しました。ネットワーク設定では、すべてのSSL処理がロードバランサレベルで処理されます。 LBはポート80を介してWebサーバークラスタと通信します。その結果、アプリケーション自体は、トラフィックが安全に到着したかどうかわかりません。ポート80の接続のみが表示されます。

ありがとうございました。

Answer 1

＃4と＃2が混在している：プロトコルを切り替える必要があるときに絶対URLを指定し、絶対URLを使用していないリンクをキャッチするサーバー側のリダイレクトを実装する誰かがURLに直接アクセスし、リンクをたどるのではなく）。

私の見解では、安全にアクセスする必要があるページ（フォーム送信など）は安全にアクセスされ、そのために私はApacheのSSLRequireSSL指令を使用しています。 SSLを使用している場合を除き、特定のページには決してアクセスしないことを自分自身で簡単に確認できます。

Answer 2

私はハムフィステルのためにすべてのアプローチをしっかりとしていますが、ドメイン/サブドメインソリューションを除いて、私の実際のソリューションを（理想的には私の頭に）テーブルから外しました。サイトを保護する際のエラーは、少しの処理オーバーヘッドよりもはるかに危険です。

私たちは主なサイトを持っていますが、それは安全ではありませんが（主にマーケティング）、別のサブドメインであるアプリケーションサイトを持っています。シンプルで簡単で効果的です。なぜオプションをテーブルから外すのですか？

Answer 3

各ページのコントローラが安全でなければならないかどうかを知る、アプリケーション中心のアプローチ。セキュアである必要があるが、安全でないhttp経由でアクセスする場合は、httpsにリダイレクトし、すべてのパラメータを渡します。