Verwendung von HTTPS auf allen Websites 2011 und darüber hinaus

7

Ich weiß, dass dies schon einmal gefragt wurde, aber ich bin gespannt, was ihr alle denkt, mit dem Aufkommen von Programmen wie Feuersheep , die erst vor 6 Monaten veröffentlicht wurden. Ist es eine gute Idee, https auf einer ganzen Site zu verwenden? Ich bin mir bewusst, dass es Geschwindigkeitsprobleme, Popups mit Browserwarnungen und dergleichen gibt, aber wie wahrscheinlich und ernst könnte es werden, wenn Sie es nicht für jede Seite haben? Ein Freund sagte mir, es sei nutzlos, wenn nur ein Teil der Website, auf der ein Benutzer angemeldet ist, nicht https ist, da die Benutzer die Cookies abfangen können und sich daher als Sie ausgeben und Ihr Konto nach Belieben verwenden, einschließlich des Zugriffs auf https Teile.

  1. Denken Sie, dass hier die Zukunft des Internets liegt, und ist es ratsam, es jetzt umzusetzen?

  2. Die Website verfügt über Anmeldeseiten, Seiten vom Typ Kreditkarte / E-Commerce sowie andere Seiten, auf denen nur normale Beiträge vom Typ Blogeintrag vorhanden sind. Ist es immer noch in Ordnung, nur https für den Anmelde- und Zahlungsteil der Website zu verwenden, oder wird dies die Sicherheit wirklich gefährden?

  3. Was ist der Grund, warum Websites wie ebay und amazon bisher nur bestimmte Teile der Website ausgewählt haben? Bedeutet das, dass sie jetzt leicht hackbar sind?

  4. Wie viel langsamer wird die Verwendung von https für alles sein ... gibt es außer den oben genannten noch andere Nachteile?

  5. Sind die Popup-Probleme des Browsers lösbar?


quelle
# 3 ist einfach nicht wahr, zumindest für Amazon. Können Sie das tatsächlich unterstützen, weil ich es nicht sehe? Ich benutze eBay nicht, bezweifle aber, dass es dort auch wahr ist.
Su‘

Antworten:

5

Dein Freund hat recht. Cookies werden bei jeder Anfrage gesendet, auch bei Bildern. Sie müssen also sicherstellen, dass alles sicher gesendet wird, wenn die Cookies sensibel sind.

Die Browser-Warnungen treten nur auf, wenn ein Problem mit dem Serverzertifikat vorliegt. Die häufigsten Probleme sind ein abgelaufenes Zertifikat, ein nicht ordnungsgemäß konfiguriertes Zertifikat (dh der Versuch, dasselbe Nicht-Platzhalterzertifikat für mehrere Domänen zu verwenden) oder ein Zertifikat, das nicht von einer vertrauenswürdigen Zertifizierungsstelle (Comodo, Thawte, Geotrust, usw).

Wenn HTTPS verwendet wird, entsteht ein Overhead. Es gibt einen "Handshake", der zu Beginn einer Verbindung auftritt, die einen Bruchteil einer Sekunde dauert, und es gibt etwas mehr Prozessorlast. Dies war früher ein Problem, wenn Leute DFÜ-Verbindungen hatten und die CPUs langsam waren. Dies ist kein entscheidender Faktor, und Sie sollten nicht mehr als ein paar Prozent mehr CPU-Auslastung sehen. Die Prozessorzeit ist jetzt günstig. Diese Leistungsprobleme sind vernachlässigbar.

Ich weiß nicht, ob das Internet vollständig verschlüsselt ist. Vielleicht. Sie müssen nur dann eine Verschlüsselung bereitstellen, wenn persönliche Daten, einschließlich Cookies, die einen Benutzer automatisch anmelden (sie entsprechen einem Benutzernamen / Passwort, wenn auch etwas kurzlebiger). Wenn die Cookies nicht sensibel sind und keine privaten Daten über das Kabel übertragen werden, ist die Verschlüsselung nicht obligatorisch.

Ich bezweifle, dass eBay, Amazon und andere anfällig für Sitzungsentführungen sind. Sie werden auch feststellen, dass diese Websites Benutzer daran hindern, spezielle Dinge wie das Aktualisieren ihrer Passwörter, das Ausführen von Zahlungen usw. zu tun, ohne dass der Benutzer erneut ein Passwort angibt. Sitzungsentführung ist nur dann ein Problem, wenn ein böswilliger Benutzer etwas Schlechtes tun kann, andernfalls ist ein Sitzungscookie wertlos.

SSL sollte für alles Sensible verwendet werden. Wenn es empfindlich ist, verschlüsseln Sie. Wenn nicht, ist Klartext in Ordnung. Verschlüsselung ist kein Allheilmittel, sondern ein Teil Ihrer Sicherheitsstrategie.

Matty
quelle
Was: "Cookies werden mit jeder Anfrage gesendet, auch für Dinge wie Bilder"
'15.
3
@Su Gespeicherte Cookies werden bei jeder Anforderung an den Server zurückgesendet, unabhängig von der Art der angeforderten Datei.
Matty
4

Die Sicherheit des Sitzungscookies ist sicherlich eines der größten Probleme, wenn eine Site zwischen sicheren und nicht sicheren Seiten wechselt. Dies ist jedoch nur ein Problem, da die meisten Websites die Sitzungsbehandlung und -authentifizierung kombinieren. Wenn Sie das Sitzungscookie ausschließlich zur Verwaltung der Sitzung verwenden, können Sie dieses Sicherheitsrisiko vermeiden:

Wechseln zwischen http- und https-Seiten

Obwohl dies das Problem mit dem Sitzungscookie löst, bleibt die Frage, ob die zusätzliche Komplexität die Einsparung von Prozessorleistung für eine vollständige HTTPS-Site wert ist. Leider ist es schwierig, nützliche Erfahrungsberichte oder Benchmarks für reale Szenarien zu erhalten. Große Unternehmen wie Google haben auf vollständige Verschlüsselung umgestellt, obwohl sie anscheinend bereits viele Optimierungen vorgenommen haben:

Übertakten-ssl

Meine persönliche Meinung ist, dass Sie für Websites mit geringem bis mäßigem Datenverkehr Komplexität vermeiden und HTTPS für alle Seiten verwenden sollten. Wenn Sie viel Verkehr haben (oder erwarten), können Sie zwischen HTTP und HTTPS wechseln.

martinstoeckli
quelle