Подтвердить что ты не робот

Каковы плюсы и минусы 100% -ного сайта HTTPS?

Во-первых, позвольте мне признать, что то, что я знаю о HTTPS, довольно рудиментарно. Я не знаю много о безопасности сеанса, шифровании или о том, как должно быть выполнено любое из этих действий.

Я знаю, что важна безопасность в Интернете; что ужасные истории XSS, CSRF и инъекций базы данных появляются снова и снова. Я знаю, что превентивная позиция против таких эксплойтов лучше реактивной.

Но мотивация для этого вопроса исходит из другой точки зрения. Я работаю на сайте, который регулярно принимает платежи от пользователей. Очевидно, что платежи отправляются по защищенному каналу (HTTPS). Я в основном работаю над CSS, HTML и JavaScript сайта. Мне сказали, что необходимо дублировать CSS, JavaScript и файлы изображений, прежде чем их можно будет вызывать через HTTPS. Поэтому предположим, что у меня есть следующие файлы:

  • CSS/global.css
  • JS/global.js
  • Изображения /
    • logo.png
    • bg.png

Как я понимаю, эти файлы нужно дублировать, прежде чем их можно "добавить" в HTTPS. Таким образом, файл может находиться под защитой (HTTPS) или нет.

Если это так, то это серьезное препятствие. Даже на самом маленьком сайте было бы большой проблемой дублировать файлы, а затем поддерживать их каждый раз при изменении CSS или JS. Очевидно, это можно было бы облегчить, переместив все в HTTPS.

Итак, что я хочу знать, каковы плюсы и минусы сайта, полностью зависящего от HTTPS? Означает ли это заметные накладные расходы? Разве просто глупо размещать весь сайт под шифрованием? Стали бы пользователи чувствовать себя безопаснее, видя "безопасные" уведомления в своем браузере в течение всего их визита? И последнее, но не менее важное: действительно ли это сделать для более безопасного сайта? Что HTTPS не защищает?

4b9b3361

ОТВЕТЫ

Ответ 1

Вы можете использовать один и тот же контент через HTTPS, как и через HTTP (просто укажите его на тот же самый корень документа).

Минусы, которые могут быть основными или второстепенными, в зависимости от:

  • обслуживание контента по HTTPS происходит медленнее, чем обслуживание через HTTP.
  • сертификаты, подписанные известными властями, могут быть дорогими
  • Если у вас нет сертификата, подписанного доверенным органом (например, вы подписываете его самостоятельно), посетители получат предупреждение

Это довольно простые, но всего несколько замечаний. Кроме того, лично я чувствую себя намного лучше, увидев, что весь сайт HTTPS, если он что-то имеет отношение к финансовым материалам, очевидно, но, что касается общего просмотра, нет, мне все равно.

Ответ 2

Заметные накладные расходы? Да, но в наши дни все меньше и меньше, так как клиенты и серверы намного быстрее.

Вам не нужно делать копию всего, но вам нужно сделать эти файлы доступными через HTTPS. Ваши HTTPS и HTTP-сервисы могут использовать один и тот же корневой каталог.

Неверно ли шифровать весь сайт? Обычно нет.

Стали бы пользователи чувствовать себя более безопасными? Возможно.

Действительно ли это делает более безопасный сайт? Только при работе с каналом связи между клиентом и сервером. Все остальное все еще доступно для захватов.

Ответ 3

Вы были дезинформированы. Файлы css, js и image не должны дублироваться при условии, что вы настроили отображение http и https, чтобы указать на один и тот же физический веб-сайт на сервере. Важно только то, что эти файлы ссылаются на https, когда страница, на которую вы смотрите, также находится под https. Это предотвратит опасное сообщение безопасности, в котором говорится, что некоторые объекты на странице не защищены.

Для каждой другой страницы, на которой вы используете сайт под http (необеспеченным), вы можете ссылаться на те же файлы в тех же местах, но с http-адресом.

Чтобы ответить на ваш другой вопрос, действительно будет штраф за выполнение, чтобы весь сайт находился под https. Сервер должен работать, чтобы зашифровать все, что он отправляет по кабелю. И тогда некоторые не очень старые браузеры по умолчанию не будут кэшировать содержимое https на диск, что, конечно же, приведет к еще более тяжелой нагрузке на сервер.

Поскольку мне нравятся мои сайты как можно более гибкие, я всегда выбираю, какие разделы сайта я выбираю для шифрования SSL. На большинстве типичных сайтов электронной торговли единственными страницами, требующими шифрования SSL, являются страницы входа, регистрации и проверки.

Ответ 4

Традиционная причина не для того, чтобы весь сайт за SSL был временем обработки. Требуется больше работы как для клиента, так и для сервера для использования SSL. Однако эти накладные расходы довольно малы по сравнению с современными процессорами.

Если вы используете очень большой сайт, вам может потребоваться масштабировать немного быстрее, если вы все шифруете.

Вам также необходимо купить сертификат или использовать самозаверяемый, который не может быть доверен вашим пользователям.

Вам также нужен выделенный IP-адрес. Если вы находитесь в системе общедоступного хостинга, вам необходимо иметь IP-адрес, который вы можете посвятить только тому, чтобы иметь SSL на своем сайте.

Но если вы можете позволить себе сертификат и частный ip и не возражаете, нужен немного более быстрый сервер, использование SSL на вашем сайте - отличная идея.

С количеством атак, которые SSL смягчает, я бы сказал, сделайте это.

Ответ 5

Вам не нужно несколько копий этих файлов для работы с HTTP. Возможно, вам понадобится иметь 2 копии этих файлов, если настройка хостинга настроена таким образом, что у вас есть отдельный каталог https. Поэтому, чтобы ответить на ваш вопрос, дублирующие файлы не нужны для HTTP, но в зависимости от конфигурации веб-хостинга - они могут быть.

В отношении плюсов и минусов https vs http уже есть несколько сообщений, касающихся этого. HTTP и производительность HTTPS Сравнение HTTPS и HTTP

HTTP только шифрует данные между клиентским компьютером и сервером. Это не программные отверстия или проблемы, такие как удаленный javascript. HTTP-приложения не улучшают ваше приложение - это только помогает защитить данные между пользователем и вашим приложением. Вам нужно убедиться, что в вашем приложении нет дыр в безопасности, часто проверяйте все данные, SQL и часто просматривайте журналы безопасности.

Однако, если вы несете ответственность за внешнюю часть сайта, я бы не стал беспокоиться об этом, но вызвал бы проблемы безопасности с основным разработчиком для бэкэнд.

Ответ 6

Одна из проблем заключается в том, что https-трафик может быть заблокирован, например, на компьютерах Apple, если вы установили на него родительский контроль, блокирует трафик https, поскольку он не может прочитать зашифрованный контент, вы можете прочитать здесь:

http://support.apple.com/kb/ht2900

Заметка https: для сайтов, использующих SSL шифрование (обычно начинается URL-адрес с https), интернет-контент фильтр не может проверить зашифрованный контент страницы. Для эта причина, зашифрованные веб-сайты должны быть явно разрешено с помощью Always Разрешить список. Зашифрованные веб-сайты, которые не включены в список Always Allow быть заблокированным автоматическим Интернетом фильтра содержимого.

Ответ 7

Важным "про" для более https на вашем сайте является следующее:

пользователь, подключающийся через незашифрованный WiFi, например, в аэропорту, может указывать свой пароль в https, но если сайт затем переключается на http после страницы с паролем, cookie сеанса становится открытым и может быть немедленно использован с помощью подслушивания.

См. статью http://steve.grc.com/2010/10/28/why-firesheeps-time-has-come/#comment-2666