Dlaczego https jest używany tylko do logowania?

Question

Czy wydajność jest jedynym problemem? Czy podczas sesji użytkownika nie można korzystać z połączenia https? Nie ma oczywiście mniej przekierowania dzieje się!

Znalazłem ten powiązane pytanie na http vs. https performance

EDIT: Ok, nie miałem na myśli 'używane tylko do logowania'. Raczej, co staram się zapytać, to jeśli dojdziesz do punktu, w którym potrzebujesz https w dowolnym miejscu na swojej stronie, czy to logowania lub płatności, dlaczego nie wszystkie komunikacji na stronie przez http?

Jako przykład przyjmij stronę bloga. Teraz posty na blogu mogą zostać utworzone przez wysłanie wiadomości e-mail. W dalszej kolejności mogę podać "login", a następnie akcję "dodaj post". W tym scenariuszu zazwyczaj https jest używany tylko do logowania, a następnie do regularnego dodawania wpisu. Odtąd, teraz trzeba zapewnić tryb "admin", że tak powiem, dlaczego nie mieć całej komunikacji przez https, gdy osoba jest w trybie "administratora", tj. Zalogowany.

Answer 1

Wydajność nie jest jedynym problemem. Jeśli zamierzasz korzystać z HTTPS, naprawdę musisz sprawdzić, czy wszystkie Twoje treści, w tym obrazy i biblioteki osób trzecich, są dostępne przez HTTPS. W przeciwnym razie będzie generować irytujących wiadomości mieszanych treści na IE:

http://blog.httpwatch.com/2009/04/23/fixing-the-ie-8-warning-do-you-want-to-view-only-the-webpage-content-that-was-delivered-securely/

Oznacza to również, że trzeba odrębnych certyfikatów SSL dla każdej nazwy hosta, którego używasz (np images.example.com) lub jakimś certyfikatu SSL z dziką kartą (np. dla * .example.com).

Starannie skonfigurowana witryna powinna cierpieć tylko niewielki procesor trafić na klienta i serwera przy użyciu https:

http://blog.httpwatch.com/2009/01/15/https-performance-tuning/

Answer 2

Ponieważ login i hasło są najbardziej wrażliwe dane, które muszą być chronione.

Resztę można oczywiście powąchać, jeśli nie zaszyfrować, ale będzie to tylko "tryb odczytu", haker nie będzie mógł niczego zmodyfikować. Uzyskując login/hasło, on jednak będzie.

W zależności od zastosowania kursu, właściciel może zdecydować, że pozostałe dane nie są wystarczająco czułe, aby znieść dodatkowy ładunek szyfrowania całego ruchu. Jednak niektóre aplikacje, takie jak systemy bankowości internetowej, czynią SSL na wszystkich stronach, ponieważ stan konta, transakcje, a nawet ustawienia mogą być uważane za wystarczająco wrażliwe, aby uchronić je przed wzrokiem ciekawskich.

Answer 3

https jest używany do dużo więcej niż logowania. Za każdym razem, gdy loguję się do mojego banku on-line lub logiki koszyka na zakupy lub karty kredytowej, widzę, że https jest protokołem. Lepiej bądź, bo nie skorzystam z aplikacji.

Answer 4

Połączenie HTTPS może być używane w dowolnym miejscu. Po prostu przesyła wszystkie dane przy użyciu protokołu SSL (TLS), który jest formą szyfrowania publicznego/prywatnego i symetrycznego. Utrudnia to odszyfrowywanie danych wysyłanych do i z serwera.

Z powodu kosztów szyfrowania i odszyfrowywania danych (w niektórych przypadkach) nie jest używany, gdy poufne dane nie są przesyłane. Nieużywanie go po prostu zmniejsza obciążenie serwera. Zawsze należy go używać, gdy dane wrażliwe muszą być przesyłane. Jeśli wprowadzasz (na przykład) dane karty kredytowej, powinieneś sprawdzić, czy protokół to https, a nie http.

Answer 5

Po prostu używaj protokołu HTTPS do przesyłania bezpiecznych informacji. W związku z tym dane karty kredytowej i hasła będą korzystać z protokołu HTTPS w celu ich ochrony. Porównaj to z samochodem pancernym używanym do sprowadzania więźniów z więzienia do więzienia stanowego. Jednak gdy te informacje znajdą się we właściwej lokalizacji, prosty token może być używany w celu odniesienia się do informacji bez dalszej ekspozycji. Podczas logowania bezpieczne połączenie wygeneruje identyfikator sesji, który będzie ważny przez 10, 20 minut przed jego wygaśnięciem. Chociaż istnieje ryzyko, że ktoś przechwyci ten identyfikator sesji, nadal nie ma wystarczających informacji, aby całkowicie przejąć dane. Haker miałby tylko krótkie okienko, aby nadużywać tego identyfikatora. W związku z tym ryzyko sesji jest mniejsze niż w przypadku haseł. To samo, co informacje o karcie kredytowej. Gdy strona zna numery kart kredytowych, może po prostu zapytać, czy chcesz użyć karty 1, karty 2 lub innej. To po prostu przypisuje identyfikator każdej karcie, która jest ogólnie po prostu liczbą od 1 do liczby posiadanych kart. Jeśli ktoś to przeczyta, to wiedzą, że płacą 49,95 USD za pomocą karty 1. Nadal nie wiedzą nic więcej o tej karcie.

Rzeczy, które należy zabezpieczyć, wysyła się przy użyciu samochodów pancernych lub HTTPS. Coś innego może po prostu użyć jakiegokolwiek innego środka transportu.

Answer 6

„Ponieważ login i hasło są najbardziej wrażliwych danych, które muszą być chronionym. reszta może być powąchana ..., ale będzie to tylko w trybie "odczytu", haker nie będzie mógł niczego modyfikować. "

To mi się nie podobało.

Jeśli logowanie tworzy sesję, podczas której dozwolona jest dowolna modyfikacja danych, musi istnieć jakiś token sesji lub identyfikator, zwykle przechowywany w pliku cookie przeglądarki (lub odpowiedniku). Jeśli możesz powąchać token sesji, możesz utworzyć żądanie aktualizacji i wysłać je na serwer.