Подтвердить что ты не робот

Использовать или не использовать SSL? Зачем использовать SSL всегда?

Аргумент для использования SSL заключается в том, чтобы помешать некоторым вредоносным пользователям, которые прошли через отслеживание вашего трафика, способного читать ваш трафик. Поэтому, хотя может быть смысл, если вы используете незащищенную беспроводную (не WPA2) сеть для использования SSL при входе в систему на свой банковский счет или при предоставлении номера вашей кредитной карты, мне трудно увидеть его в более общих деловых случаях.

Почему даже беспокоиться о SSL? (когда ваш клиент не будет находиться в незащищенной беспроводной сети)

Единственный способ, по которому кто-то может отслеживать ваши конкретные HTTP-соединения и данные в нем, - это если у них есть доступ администратора к вашему маршрутизатору (и только тогда, когда есть возможность контролировать/копировать трафик), установленный на вашем компьютере инструмент (ключ логист, конечно, будет проходить через SSL в любом случае), или они контролируют вас в ISP (для чего в большинстве юрисдикций требуется ордер).

Предупреждение об обновлении. Некоторые юрисдикции не так бесплатны, как вы думаете, в частности, 1-й и 2-й миры, например. в Великобритании правительство может вскоре не требовать ордера: http://en.wikipedia.org/wiki/Communications_Data_Bill_2008, который, вероятно, повлечет за собой возможность читать веб-сайты, поскольку они были исторически (т.е. расшифровать SSL) и "Патриотический акт США" http://en.wikipedia.org/wiki/US_Patriot_Act#Title_II:_Surveillance_procedures

Далее

  • Принятие SSL-сервера на стороне сервера добавляет значительную нагрузку, поскольку установление соединения является интенсивным в процессоре (при генерации секретных ключей).
  • Публично доверенные сертификаты SSL должны периодически приобретаться у третьей стороны.

ОБНОВЛЕНИЕ: Я фактически использую SSL, хотя я счел целесообразным задать вопрос в любом случае. Конечно, я думаю, что время SSL не нужно. Может быть, это может быть превращено в вики сообщества за и против SSL? Если да, то как?

В приведенных ниже ответах обычно встречается миф: "кто-то между вами и сервером может подслушивать вас"...

  • Это невозможно в Интернете, поскольку маршрутизаторы с низким уровнем TCP только пересылают пакеты, куда им нужно идти, и даже в одном и том же сеансе могут маршрутизироваться по разным маршрутам, и никто не может смотреть на эти пакеты, за исключением крайних случаев - технически или законно.
  • Что касается кого-то из интернет-провайдера, который смотрит на ваш трафик, то я удивляюсь, почему они будут сигнализировать вам и смотреть на "такие важные данные", которые, без сомнения, скучны для них, это также незаконно без ордера.
  • В вашей локальной сети (кроме беспроводной), если вы не используете концентратор динозавров, который транслирует каждый пакет, нет способа прослушивать кому-то еще трафик - это невозможно, потому что оборудование просто не отправляет вам пакеты, даже если у вас есть сетевая карта в беспорядочном режиме и используют инструмент для обнюхивания, такой как Snort или Wireshark.

Пассивное отравление ARP - это один из способов прослушивания, но его нужно делать внутренне, и его следует воспринимать как конфликты имен и т.д. Начало происходит, и часто шлюз по умолчанию будет статическим, поэтому это будет трудная причина, по которой шлюз по умолчанию будет перед вами.

4b9b3361

ОТВЕТЫ

Ответ 1

SSL следует использовать везде, где вы сообщаете информацию, которая не должна быть общедоступной. Очень опасно полагать, что никто не слушает трафик между вашим компьютером и удаленным сервером.

Все, что нужно сделать для отслеживания трафика, - это ваша сеть - им не нужен доступ администратора к вашему маршрутизатору. Без использования SSL для чувствительных коммуникаций единственная машина с вирусом на компьютере коллег - это все, что необходимо для кражи вашей личности.

У ISP также есть доступ ко всему сетевому трафику - насколько вы доверяете своим специалистам?

Уважаемый пользователь,

Мы решили не шифрование нашего интернет-трафика потому что мы просто не думаем, что это важный. Мы решили, что это действительно слишком сложно контролировать интернет трафика, поэтому, если кто-то действительно готовы пойти на это, хорошо они заслуживают всех данных, которые они могут получить их руки. Если вы используете старый стиль маршрутизатора, испорченные ИТ-решения сотрудников и/или коллег или кого-то просто не нравится вам и решает украсть ваши данные, мы не принимаем ответственность.

Мы советуем вам сообщать кому-либо о нашем решении, поскольку это направит нежелательное внимание на наш IP-трафик.

С наилучшими пожеланиями,

Достаточное программирование

Отказ от ответственности:. Если вы являетесь хакером и наткнулись на это сообщение при мониторинге IP-трафика, мы вежливо отметим, что то, что вы делаете, является незаконным и требует, чтобы вы притворились, что никогда не видели его.

Ответ 2

Проблема заключается в том, что использование, скажем, WPA2 обеспечивает только соединение между вашим компьютером и маршрутизатором. Существует большой кусок незащищенной сети между маршрутизатором и пунктом назначения - это дизайн Интернета. Вы не знаете, кто находится по пути, и там может быть любое количество злонамеренных (или просто любопытных) слушателей. Они могут даже не находиться в вашей юрисдикции, поэтому предотвращение подслушивания вполне может быть невозможным.

SSL дает вам зашифрованный туннель до конца.

Если вы говорите о небольшой локальной сети, где нет трафика, выходящего из внутренней сети, тогда обязательно, не беспокойтесь о SSL, если вы этого не хотите. Но если что-то чувствительное проходит через Интернет, вы действительно хотите использовать SSL, чтобы никто не видел его. Это все о том, насколько важна информация.

Одна вещь, о которой нужно знать, заключается в том, что многие веб-сайты используют файлы cookie для запоминания информации для входа в систему. Если эти куки проходят через Интернет в ясном порядке, то это довольно тривиально, чтобы захватить сессию - подумайте FireSheep. Таким образом, вам нужно быть очень осторожным в отношении того, что вы считаете "чувствительной" информацией. Учитывая, что многие бизнес-приложения переходят на удаленные серверы (я думаю, что молодые люди называют это "облаком" ), это не второстепенная проблема.

Короче говоря, используйте SSL, если есть что-то, что вы не хотите, чтобы кто-либо еще видел, что происходит через сеть, которая не полностью находится под вашим контролем.

Ответ 3

SSL обеспечивает аутентификацию и шифрование.

Сложно MITM создать незашифрованное соединение, но не так сложно в незашифрованной беспроводной сети, которую вы дали в качестве примера. Любая сеть, которая позволяет вам обманывать ARP (многие коммутируемые проводные сети), также позволяет MITM. Но вы забываете о каждом маршрутизаторе на этом пути. Вспомните несколько месяцев назад, когда плохой настроенный маршрутизатор в Китае, по-видимому, проложил значительную, хотя и небольшую относительную долю, часть интернет-трафика? Они могли видеть ваш открытый текст. Так могут другие клиенты в кабельной сети и т.д.

Но SSL также обеспечивает аутентификацию. Если я получу секретный ключ для действительного сертификата SSL от вас, я уверен, что вы тот, кого вы говорите, вдвойне, если это компетентный центр сертификации.

Но большая проблема заключается в том, что вы не совсем понимаете SSL, поэтому я бы посоветовал вам не принимать решение так или иначе самостоятельно - по крайней мере, пока вы не прочтете больше. SSL не требует, чтобы вы генерировали новый ключ для каждого запроса и на самом деле не работали бы, если бы это произошло. Кроме того, любой разумно недавний компьютер может обрабатывать тысячи запросов SSL одновременно - алгоритмы очень быстрые. Кроме того, вы можете использовать ускорители шифрования, которые разгружают работу на выделенный фрагмент оборудования.

Если вы считаете, что может использовать SSL для защиты некоторых данных, и часто, если вы этого не делаете, почти нет причин его избежать. Да, есть некоторые расходы, но любые данные о последствиях стоят 300 долларов в год.

EDIT Я прочитал ваш комментарий - это клиентское приложение? Решение в вашем случае, вероятно, должно использовать самозаверяющие ключи, и вы можете распространять открытый ключ с помощью приложения. Это позволяет вам зашифровать и проверить, что вы говорите, кем вы должны быть.

Ответ 4

Я не думаю, что каждый веб-сайт нуждается в SSL, если вы его используете, но есть случаи, когда вы хотите иметь возможность аутентифицировать пользователя без использования SSL.

Я создал (javascript- > perl) одноразовую хэш-аутентификацию только для этой цели.

http://www.furiousgryphon.com/jauthenticatedemo.html

https://github.com/thomasoeser/jAuthenticate

Ответ 5

Одна из вещей, которые большинство людей здесь забывают, - это то, что вы считаете конфиденциальными данными? То, что один человек считает скучными бесполезными данными, может считаться высоко конфиденциальным кем-то другим или наоборот. Итак, что ты собираешься делать? Использовать SSL на всех данных, чтобы обеспечить безопасность, чтобы вы не получили иск? Получите реальность. Возьмите, например, программу чата. Большинство соглашалось с тем, что шифрование имени пользователя и пароля было бы важно, но как насчет самого текста чата? Большинство чатов - это обыденный материал, и исключение SSL обеспечит лучшую производительность. Лично я позволю конечному пользователю решить, что важно, а затем предоставить SSL только для тех типов информации, которые, по их мнению, необходимо зашифровать. Что Google делает с Gmail. У вас есть выбор использования SSL или нет.