Ответ 1
-
Если контент, обслуживаемый HTTPS на странице HTTP, не особенно чувствителен и может быть передан по протоколу HTTP, нет недостатков (возможно, некоторые проблемы с производительностью, not обязательно много и отсутствие кеширования, в зависимости от того, как настроен ваш сервер: вы можете кэшировать некоторый контент HTTPS).
-
Если сервер содержимого через HTTPS достаточно чувствителен, чтобы мотивировать использование HTTPS, это действительно плохая практика.
Проверка того, что HTTPS используется и используется правильно, несет ответственность только клиент и его пользователь (поэтому автоматическое перенаправление от HTTP до HTTPS является лишь частично полезным, например). Хотя некоторые из них связаны с техническими характеристиками проверки сертификатов, большая часть безопасности, предоставляемой HTTPS, связана с тем, что пользователь:
- рассчитывает использовать HTTPS (иначе их можно было бы легко понизить),
- может проверить действительность сертификата: зеленая/синяя полоса, соответствующая имени хоста, на котором они ожидают.
Первая точка может быть решена с помощью HTTP Strict Transport Security с технической точки зрения.
Второе требует использования взаимодействия. Если вы заходите на веб-сайт своего банка, это должен быть не только сайт с действующим сертификатом, но вы также должны проверить, действительно ли это доменное имя вашего банка.
Встраивание содержимого HTTPS в HTTP-страницу поражает это, так как пользователь не может проверить, какой сайт используется, и что HTTPS используется вообще. В какой-то степени вложение содержимого HTTPS с третьей стороны на странице HTTPS также представляет эту проблему (это одна из проблем с 3-D Secure, который вполне может быть использован с использованием HTTPS, но с использованием iframe не делает видимым какой-либо сайт).