Во-первых, позвольте мне признать, что то, что я знаю о HTTPS, довольно рудиментарно. Я не знаю много о безопасности сеанса, шифровании или о том, как должно быть сделано одно из этих действий.Каковы плюсы и минусы 100% -ного сайта HTTPS?
Я знаю, что важна безопасность в Интернете; что ужасные истории XSS, CSRF и инъекций базы данных появляются снова и снова. Я знаю, что превентивная позиция против таких подвигов лучше реактивной.
Но мотивация для этого вопроса исходит из другой точки зрения. Я работаю на сайте, который регулярно принимает платежи от пользователей. Очевидно, что платежи отправляются по защищенному каналу (HTTPS). Я в основном работаю над CSS, HTML и JavaScript сайта. Мне сказали, что необходимо дублировать CSS, JavaScript и файлы изображений, прежде чем их можно будет вызывать через HTTPS. Поэтому предположим, у меня есть следующие файлы:
- CSS/global.css
- JS/global.js
- изображения/
- Logo.png
- bg.png
Как я понимаю, эти файлы необходимо дублировать прежде чем их можно «добавить» в HTTPS. Таким образом, файл может находиться под защитой (HTTPS) или нет.
Если это так, то это является серьезным препятствием. Даже на самом маленьком сайте было бы большой проблемой дублировать файлы, а затем поддерживать их каждый раз при изменении CSS или JS. Очевидно, это можно было бы смягчить, переместив все в HTTPS.
Итак, что я хочу знать, Каковы плюсы и минусы сайта, полностью за HTTPS? Означает ли это заметные накладные расходы? Разве просто глупо размещать весь сайт под шифрованием? Стали бы пользователи чувствовать себя безопаснее, видя «безопасные» уведомления в своем браузере в течение всего их визита? И последнее, но не менее важное: действительно ли это make for a more secure site? Что может HTTPS не защищать от?
Я не знаю, какую платформу вы используете, но и в мире IIS это общее для сопоставления * * тот же сайт, как 80 * и * 443. Это означает, что нет буквального дублирования , Затем в коде вы можете обеспечить, чтобы определенные страницы были доступны только через HTTPS. –
Следует отметить, что использование SSL (или ["TLS"] (http://en.wikipedia.org/wiki/Transport_Layer_Security), как оно принято в настоящее время) не предотвратит уязвимости XSS, CSRF или базы данных. –
Недавнее , соответствующая запись в блоге у уважаемого (по крайней мере меня) парня в сообществе безопасности: http://steve.grc.com/2010/10/28/why-firesheeps-time-has-come/ – Fantius