Sử dụng HTTPS trên toàn bộ trang web 2011 trở lên


7

Tôi biết điều này đã được hỏi trước đây, nhưng tôi tò mò tất cả các bạn nghĩ gì, với sự ra đời của các chương trình như Firesheep , được phát hành chỉ 6 tháng trước. Có nên sử dụng https trên toàn bộ trang web không? Tôi biết rằng có vấn đề về tốc độ, cửa sổ bật lên cảnh báo trình duyệt và những thứ tương tự, nhưng khả năng và mức độ nghiêm trọng của nó có thể xảy ra nếu bạn không có nó cho mỗi trang? Một người bạn nói với tôi rằng thật vô ích nếu chỉ một phần của trang web mà người dùng đăng nhập không phải là https, bởi vì mọi người có thể chặn cookie và do đó giả vờ là bạn và sử dụng tài khoản của bạn khi họ muốn, bao gồm cả việc truy cập https các bộ phận.

  1. Bạn có nghĩ rằng đây là nơi tương lai của internet sẽ hướng tới, và liệu có khôn ngoan khi thực hiện nó bây giờ không?

  2. Trang web đã đăng nhập, các trang loại thẻ tín dụng / thương mại điện tử cũng như các trang khác chỉ có các bài đăng loại blog bình thường. Vẫn còn khá ổn khi chỉ sử dụng https khi đăng nhập và thanh toán một phần của trang web, hay nó sẽ thực sự ảnh hưởng đến bảo mật?

  3. Lý do tại sao các trang web như ebay và amazon cho đến bây giờ, chỉ chọn làm điều đó trên một số phần của trang web? Điều đó có nghĩa là bây giờ họ có thể dễ dàng hack?

  4. Việc sử dụng https trên mọi thứ sẽ chậm hơn bao nhiêu ... có bất kỳ nhược điểm nào khác ngoài những điều được đề cập ở trên không?

  5. Các vấn đề bật lên của trình duyệt có thể giải quyết được không?


# 3 chỉ là không đúng sự thật, ít nhất là đối với Amazon. Bạn thực sự có thể sao lưu điều này lên không, vì tôi không thấy nó. Tôi không sử dụng eBay, nhưng nghi ngờ nó cũng đúng ở đó.
Su '

Câu trả lời:


5

Bạn của bạn nói đúng. Cookies được gửi với mọi yêu cầu, ngay cả đối với những thứ như hình ảnh, vì vậy bạn phải đảm bảo mọi thứ được gửi an toàn nếu cookie nhạy cảm.

Các cảnh báo trình duyệt chỉ xảy ra khi có vấn đề với chứng chỉ của máy chủ. Các vấn đề phổ biến nhất là chứng chỉ hết hạn, chứng chỉ được cấu hình không đúng (nghĩa là cố gắng sử dụng cùng một chứng chỉ không phải ký tự đại diện cho nhiều tên miền) hoặc chứng chỉ chưa được cấp bởi cơ quan chứng nhận tin cậy (Comodo, Thawte, Geotrust, Vân vân).

Khi HTTPS được sử dụng, có một chi phí chung. Có một "cái bắt tay" xảy ra khi bắt đầu một kết nối chỉ mất một phần giây và có tải bộ xử lý nhiều hơn một chút. Điều này từng là một vấn đề khi mọi người đang quay số kết nối và CPU chậm. Bây giờ, đây không phải là yếu tố quyết định và bạn không nên thấy tải CPU tăng hơn vài phần trăm. Thời gian xử lý là giá rẻ bây giờ. Những vấn đề hiệu suất là không đáng kể.

Tôi không biết liệu internet có được mã hóa toàn bộ hay không. Có lẽ. Bạn chỉ cần cung cấp mã hóa khi chi tiết cá nhân, bao gồm cookie sẽ tự động đăng nhập người dùng (chúng tương đương với tên người dùng / mật khẩu, mặc dù có phần phù du hơn). Nếu cookie không nhạy cảm và không có chi tiết riêng tư nào được truyền qua dây, mã hóa không bắt buộc.

Tôi nghi ngờ eBay, Amazon, et al dễ bị tấn công phiên. Bạn cũng sẽ lưu ý rằng các trang web này sẽ ngăn người dùng thực hiện những việc đặc biệt như cập nhật mật khẩu, thanh toán, v.v. mà không cần người dùng cung cấp lại mật khẩu. Đánh cắp phiên chỉ là vấn đề nếu người dùng độc hại có thể làm điều gì đó xấu, nếu không, cookie phiên là vô giá trị.

SSL nên được sử dụng cho bất cứ điều gì nhạy cảm. Nếu nó nhạy cảm, hãy mã hóa. Nếu không, Cleartext vẫn ổn. Mã hóa không phải là thuốc chữa bách bệnh, mà là một phần trong chiến lược bảo mật của bạn.


Điều gì: "Cookies được gửi với mọi yêu cầu, ngay cả đối với những thứ như hình ảnh"
Su '

3
@Su Cookie lưu trữ được gửi trở lại máy chủ với mọi yêu cầu, bất kể loại tệp được yêu cầu.
Matty

4

Giữ cookie phiên an toàn chắc chắn là một trong những vấn đề lớn nhất, nếu một trang web chuyển đổi giữa các trang an toàn và không bảo mật. Nhưng đó chỉ là một vấn đề, bởi vì hầu hết các trang web kết hợp xử lý phiên và xác thực phiên. Nếu bạn sử dụng cookie phiên dành riêng để duy trì phiên, bạn có thể tránh rủi ro bảo mật này:

Chuyển đổi giữa các trang http và và https

Mặc dù điều này giải quyết vấn đề với cookie phiên, nhưng câu hỏi vẫn còn là sự phức tạp bổ sung có đáng để tiết kiệm năng lượng bộ xử lý cho một trang web HTTPS đầy đủ không? Thật không may, thật khó để có được các báo cáo hiện trường hữu ích hoặc điểm chuẩn của các tình huống thực tế. Các công ty lớn như Google đã chuyển sang mã hóa hoàn toàn, mặc dù có vẻ như họ đã thực hiện rất nhiều tối ưu hóa trước đây:

Ép xung-ssl

Ý kiến ​​cá nhân của tôi là, đối với các trang web có lưu lượng truy cập thấp cho đến mức vừa phải, bạn nên tránh sự phức tạp và sử dụng HTTPS cho tất cả các trang. Nếu bạn có (hoặc mong đợi) nhiều lưu lượng, bạn có thể xem xét chuyển đổi giữa HTTP và HTTPS.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.