Можно ли настроить IIS7 для использования SSL для некоторых страниц, но не других?
Сквид позволит Вам делать это с tcp_outgoing_address директивой
Конечно, сквид не является действительно маленьким местом и может быть пугающим для конфигурирования, но конфигурация по умолчанию должна больше затем быть достаточна для большей части использования.
Да, URL Переписывают, является большим для этого.
Сам IIS делает SSL опцией для Вас, но Вам решать указать на пользователей на https и назад снова в Вашем HTML/сайте. URL Переписывает, затем служит хорошим слоем защиты в случае, если любой отмечает страницу или вводит ее вручную, или если Вы пропускаете что-то в HTML.
В URL Переписывают, используют {HTTPS} = прочь и {URL}, чтобы проверить, должна ли страница быть перенаправлена к https.
Могло бы быть легче сделать это из Вашего кода приложения. Это должны быть две или три строки самое большее для перенаправления к https://{URL}? {Querystring}
Я думаю, что это - вероятно, плохая идея кроме очень конкретных вариантов использования. По-видимому, Вы пасуете назад сеансовые куки после того, как пользователь вошел в систему. Незашифрованный, этот cookie невероятно легко пронюхать в сетях общего пользования и использовать для угона сессии, поскольку FireSheep, вероятно, сделал очевидным для большинства разработчиков к настоящему времени.
Если Вы серьезно относитесь к защищению входов в систему Ваших пользователей, то необходимо защитить сеансовые куки и не только их пароль.