安全なHTTPSログインフォームを作成するにはどうすればよいですか？

現在のインターネットの方向性と、過去数か月の間にHTTPSよりもHTTPSサイトの方を重視することについてGoogleが声明を発表している場合、完全にHTTPSにすることもできます。

HTTPSでログインしてからHTTPにリダイレクトしたくない場合は、断続的にログインおよびログアウトするユーザーに問題が発生します。人々は何年にもわたってこの問題に対処しようとしましたが、それが解決されたとは思いません。

HTTPSを常にオンにして.htaccessで処理し、HTTPS以外のトラフィックをHTTPにリダイレクトします。 （明確にするために、これを行うためのモジュールは必要ありません。htaccessの指示に従い、ホスティングプロバイダーと協力してSSL証明書を提供してください）。

Httpsで/ user（ログイン）ページを表示する必要があり、すでに使用可能な証明書がある場合。証明書のインストールと https://www.drupal.org/project/securepages モジュールの使用。

しかし... https経由でログインするとき、管理者側でhttpsにリダイレクトすることはお勧めしません。

オプションとなるもの、およびそのモジュールで可能なのは、Webフォーム/ログインフォームなどのセキュアページ（https）を使用してログインしていない場合（ユーザー入力が必要なすべてのページ）です。

Secure Login を使用します

HTTPとHTTPSの両方を介して利用できるサイトの場合、Secure Loginモジュールはユーザーのログインやその他のフォームがHTTPSを介して安全に送信されるようにし、パスワードやその他のプライベートユーザーデータが平文で送信されるのを防ぎます。セキュアログインモジュールは、ユーザー/ログインページだけでなく、ユーザーログインブロックを含むページや、セキュリティで保護するように構成したその他のフォームもロックします。

Drupal 7および8の場合、Secure Loginモジュールは安全な認証済みセッションCookieを適用するため、盗聴者による session hijacking を防止します。以前のバージョンのDrupalでは、PHPの session .cookie_secure 安全なセッションCookieを適用するには、HTTPSサイトでフラグを有効にする必要があります。

あなたが求めていることを厳密に行うには、 secure pages モジュールをお勧めします。 Webサーバーのセットアップがhttpsを使用するように正しく構成されていることを確認する必要があります。別の答えとは逆に、すべてを構成したら、それは間違いなく可能であり、非常にうまく機能します。ただし、httpとhttpsの間でセッションを正しく共有するなど、多くの注意点があります。

とはいえ、全体として、この日と時代には、サイト全体を気にせず、https経由で実行することを強くお勧めします。暗号化のオーバーヘッドは、最新のハードウェアではもはや要因ではなく、http 2の使用を可能にするため、実際には従来の通常のhttpよりも高速になります。 。また、httpsを介してサイトにアクセスできるようにすることで、SEOのメリットが小さくなり始めています（Googleは1年以上前に、httpsのときにページに追加のランクを付けることを 発表しました ） 。