Каковы плюсы и минусы 100% -ного сайта HTTPS?

Question

Во-первых, позвольте мне признать, что то, что я знаю о HTTPS, довольно рудиментарно. Я не знаю много о безопасности сеанса, шифровании или о том, как должно быть сделано одно из этих действий.

Я знаю, что важна безопасность в Интернете; что ужасные истории XSS, CSRF и инъекций базы данных появляются снова и снова. Я знаю, что превентивная позиция против таких подвигов лучше реактивной.

Но мотивация для этого вопроса исходит из другой точки зрения. Я работаю на сайте, который регулярно принимает платежи от пользователей. Очевидно, что платежи отправляются по защищенному каналу (HTTPS). Я в основном работаю над CSS, HTML и JavaScript сайта. Мне сказали, что необходимо дублировать CSS, JavaScript и файлы изображений, прежде чем их можно будет вызывать через HTTPS. Поэтому предположим, у меня есть следующие файлы:

• CSS/global.css
• JS/global.js
• изображения/
  • Logo.png
  • bg.png

Как я понимаю, эти файлы необходимо дублировать прежде чем их можно «добавить» в HTTPS. Таким образом, файл может находиться под защитой (HTTPS) или нет.

Если это так, то это является серьезным препятствием. Даже на самом маленьком сайте было бы большой проблемой дублировать файлы, а затем поддерживать их каждый раз при изменении CSS или JS. Очевидно, это можно было бы смягчить, переместив все в HTTPS.

Итак, что я хочу знать, Каковы плюсы и минусы сайта, полностью за HTTPS? Означает ли это заметные накладные расходы? Разве просто глупо размещать весь сайт под шифрованием? Стали бы пользователи чувствовать себя безопаснее, видя «безопасные» уведомления в своем браузере в течение всего их визита? И последнее, но не менее важное: действительно ли это make for a more secure site? Что может HTTPS не защищать от?

Answer 1

Вы можете использовать один и тот же контент через HTTPS, как и через HTTP (просто укажите его на тот же самый корень документа).

Cons, которые могут быть большими или малыми, в зависимости:

1. обслуживание контента через HTTPS медленнее, чем обслуживающие через HTTP.
2. сертификаты, подписанные известными органами могут быть дорогими
3. , если у вас нет сертификата, подписанного доверенным (например, вы подписываете его самостоятельно), посетители смогут получить предупреждение

Те довольно простые, но всего лишь несколько вещей, которые нужно отметить. Кроме того, лично я чувствую себя намного лучше, увидев, что весь сайт HTTPS, если это что-то связано с финансовыми вещами, очевидно, но, что касается общего просмотра, нет, мне все равно.

Answer 2

Замечательные накладные расходы?Да, но в наши дни это все меньше и меньше, поскольку клиенты и серверы работают намного быстрее.

Вам не нужно делать копии всего, но вам нужно сделать эти файлы доступными через HTTPS. Ваши HTTPS и HTTP-сервисы могут использовать один и тот же корневой каталог.

Неверно ли поставить весь сайт под шифрование? Обычно нет.

Могут ли пользователи чувствовать себя безопаснее? Вероятно.

Действительно ли это делает более безопасный сайт? Только при работе с каналом связи между клиентом и сервером. Все остальное все еще доступно для захватов.

Answer 3

Традиционная причина не для того, чтобы весь сайт за SSL был обработан. Требуется больше работы как для клиента, так и для сервера для использования SSL. Однако эти накладные расходы довольно малы по сравнению с современными процессорами.

Если вы используете очень большой сайт, вам может потребоваться масштабировать немного быстрее, если вы шифруете все.

Вам также необходимо купить сертификат или использовать самоподписанный, который может не доверять вашим пользователям.

Вам также нужен выделенный IP-адрес. Если вы находитесь в системе общедоступного хостинга, вам нужно иметь IP-адрес, который вы можете посвятить только тому, чтобы иметь SSL на своем сайте.

Но если вы можете позволить себе сертификат и частный IP-адрес и не возражаете, нужен немного более быстрый сервер, использование SSL на вашем сайте - отличная идея.

С учетом количества атак, которые SSL смягчает, я бы сказал, сделайте это.

Answer 4

Вам не нужно несколько копий этих файлов для работы с HTTP. Возможно, вам понадобится иметь 2 копии этих файлов, если настройка хостинга настроена таким образом, что у вас есть отдельный каталог https. Поэтому, чтобы ответить на ваш вопрос, дублирующие файлы не нужны для HTTP, но в зависимости от конфигурации веб-хостинга - они могут быть.

Что касается плюсов и минусов https vs http, то есть уже несколько сообщений, адресованных этому. HTTP vs HTTPS performance HTTPS vs HTTP speed comparison

HTTPs только шифрует данные между клиентским компьютером и сервером. Это не программные отверстия или проблемы, такие как удаленный javascript. HTTP-приложения не улучшают ваше приложение - это только помогает защитить данные между пользователем и вашим приложением. Вам нужно убедиться, что в вашем приложении нет дыр в безопасности, часто проверяйте все данные, SQL и часто просматривайте журналы безопасности.

Однако, если вы несете ответственность за внешнюю часть сайта, я бы не стал беспокоиться об этом, но вызвал бы проблемы безопасности с основным разработчиком для бэкэнд.

Answer 5

Вы были проинформированы. Файлы css, js и image не должны дублироваться при условии, что вы настроили отображение http и https, чтобы указать на один и тот же физический веб-сайт на сервере. Важно только то, что эти файлы ссылаются на https, когда страница, на которую вы смотрите, также находится под https. Это предотвратит опасное сообщение безопасности, в котором говорится, что некоторые объекты на странице не защищены.

Для каждой другой страницы, на которой выполняется сайт под http (необеспеченный), вы можете ссылаться на те же файлы в тех же местах, но с http-адресом.

Чтобы ответить на другой вопрос, действительно будет штраф за исполнение, чтобы весь сайт находился под https. Сервер должен работать, чтобы зашифровать все, что он отправляет по кабелю. И тогда некоторые не очень старые браузеры по умолчанию не будут кэшировать содержимое https на диск, что, конечно же, приведет к еще более тяжелой нагрузке на сервер.

Поскольку мне нравятся мои сайты как можно более отзывчивые, я всегда выбираю, какие разделы сайта я выбираю для шифрования SSL. На большинстве типичных сайтов электронной торговли единственными страницами, требующими шифрования SSL, являются страницы входа, регистрации и проверки.

Answer 6

Одной из проблем является то, что HTTPS трафик может быть заблокирован, например, на компьютерах Apple, если установить родительский контроль на нем блоки HTTPS трафик, поскольку он не может прочитать зашифрованное содержимое, вы можете прочитать здесь:

http://support.apple.com/kb/ht2900

HTTPS Примечание: для сайтов, которые используют SSL шифрование (URL-адрес, как правило, начинают с HTTPS), фильтр содержимого Интернет не в состоянии проверить зашифрованное содержимое страницы. Для по этой причине зашифрованные веб-сайты должны быть явно разрешены с использованием разрешающего списка Always . Зашифрованные веб-сайты, которые не включены в список «Всегда разрешать», будут заблокированы автоматическим Интернетом .

Answer 7

Важным «про» для более HTTPS на вашем сайте следующее:

пользователь подключения через незашифрованном WiFi, как в аэропорту, может дать свой пароль в HTTPS, но если сайт затем переключается обратно на http после страницы пароля, cookie сеанса становится открытым и может быть немедленно использован подслушивателем.

Смотрите эту статью http://steve.grc.com/2010/10/28/why-firesheeps-time-has-come/#comment-2666