Perché alcuni siti web impongono la mancanza di SSL?

41

Durante il tentativo di visitare il collegamento , ho notato che sono stato reindirizzato immediatamente a HTTP. Ecco cosa dice cURL a riguardo:

$ curl --max-redirs 0 -v -L https://www.ebay.com
* Rebuilt URL to: https://www.ebay.com/
* Adding handle: conn: 0x6c8cc0
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0x6c8cc0) send_pipe: 1, recv_pipe: 0
* About to connect() to www.ebay.com port 443 (#0)
*   Trying 66.135.210.61...
* Connected to www.ebay.com (66.135.210.61) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* SSL connection using SSL_RSA_WITH_RC4_128_MD5
* Server certificate:
*       subject: CN=www.ebay.com,OU=Site Operations,O=eBay Inc.,L=San Jose,ST=California,C=US
*       start date: Jun 06 00:00:00 2013 GMT
*       expire date: Jun 07 23:59:59 2014 GMT
*       common name: www.ebay.com
*       issuer: CN=VeriSign Class 3 Secure Server CA - G3,OU=Terms of use at https://www.verisign.com/rpa (c)10,OU=VeriSign Trust Network,O="VeriSign, Inc.",C=US
> GET / HTTP/1.1
> User-Agent: curl/7.32.0
> Host: www.ebay.com
> Accept: */*
> 
< HTTP/1.1 301 Moved Permanently
< Location: http://www.ebay.com/
* no chunk, no close, no size. Assume close to signal end
< 
* Closing connection 0
* Maximum (0) redirects followed
curl: (47) Maximum (0) redirects followed

Perché i siti Web impongono il testo in chiaro HTTP mentre supportano SSL, esponendo così le abitudini di navigazione dell'utente alle intercettazioni?

    
posta d33tah 12.03.2014 - 20:30
fonte

5 risposte

40

Ci sono alcune ragioni (non necessariamente buone ragioni, ma comunque ragioni) per preferire HTTP su HTTPS. Se si applicano questi motivi, ha senso imporre l'utilizzo di HTTP anche quando il client sembra voler utilizzare HTTPS.

Un (solitamente) spiacevole motivo per preferire l'HTTP è uno che viene comunemente pronunciato in un tale dibattito: spesso si presume che SSL sia pesante, sia per il costo computazionale della crittografia, sia per le sue conseguenze sul caching (sebbene sia possibile mettere in cache le pagine servite su HTTPS, il livello SSL impedisce alcuni trucchi come proxy trasparenti , che sono comunemente applicati da ISP). Il costo computazionale è sopravvalutato (era un collo di bottiglia ai tempi di 3DES e delle macchine Pentium a 90 MHz con Ethernet veloce, ma da allora le cose sono cambiate). Per quanto riguarda il caching, un punto da sottolineare è che è sempre più irrilevante quando le pagine diventano più dinamiche.

Possiamo immaginare, tuttavia, che Ebay voglia incoraggiare un diffuso proxy basato su ISP per tutte le immagini degli articoli che servono. Posso facilmente immaginare che queste immagini divorino una parte sostanziale della larghezza di banda della rete di Ebay. L'applicazione del semplice HTTP massimizza la probabilità che si verifichi il caching, risparmiando così denaro dalla parte di Ebay.

Un motivo meno spiacevole per preferire HTTP è quello di consentire una più semplice scansione automatica dei dati per il contenuto indesiderato e il rilevamento delle intrusioni. SSL è end-to-end, quindi se tale scansione viene applicata in un mondo HTTPS, deve avvenire in uno dei punti finali, il che può essere sconveniente in una data architettura di grandi dimensioni.

Per quanto riguarda la privacy delle tue abitudini di navigazione, non penso che Ebay ci dia un tocco. In effetti, sono costruttivamente desiderosi di apprendere, analizzare, profilare e possibilmente rinunciare alle proprie abitudini di navigazione (gli inserzionisti pagano tali informazioni). Quindi non sembra ragionevole aspettarsi che Ebay protegga attivamente la tua privacy, poiché parte del loro modello di business è esattamente l'opposto.

    
risposta data 12.03.2014 - 22:33
fonte
22

In base all'esperienza personale: ho gestito un sito Web che desiderava inviare tutti i dati del modulo tramite una connessione https protetta. Tuttavia, a causa di una serie di motivi, altre pagine hanno visualizzato contenuti non sicuri che non siamo riusciti a gestire su https.

Questo porta a grandi segnali di allarme in Firefox e Chrome (QUESTO SITO CONTIENE ELEMENTI NON PROTETTI con grida di esclamazioni nella barra degli indirizzi e simili) che per i non iniziati sembrava spaventoso anche se non stava accadendo nulla di sospetto.

Per evitare di inviare messaggi errati, abbiamo semplicemente reindirizzato il traffico su http per le pagine che non hanno inviato dati sui clienti.

Ebay sembra fare la stessa cosa: quando i dati vengono effettivamente inseriti in una forma e trasmessi è sempre https.

Anche se per essere onesti: nel nostro caso mancava il budget per esaminare tutte le pagine e correggere gli elementi insicuri che avrebbero dovuto essere la strada da percorrere.

Solo altre ragioni per cui posso pensare sarebbero le prestazioni: in senso stretto SSL è più lento.

In breve: posso immaginare ragioni per reindirizzare il traffico su http, ma nel mio caso non era sicuramente una buona pratica.

    
risposta data 12.03.2014 - 22:34
fonte
14

È difficile dare una risposta buona , poiché non c'è ragione di buona per farlo.

Se dovessi elencare i pro e i contro, direi questo:

Se un sito non vuole che gli utenti che provano a visitare il sito tramite https pensino che non sia disponibile, e ha il supporto SSL per alcune funzionalità, come il login, ma pensa che non abbia o non voglia sostenere infrastruttura che consente a tutti i contenuti di passare tramite SSL, quindi potrebbe provare a farlo.

Per molto tempo, si credeva comunemente che il protocollo SSL richiedesse molto più hardware del normale HTTP. Una vecchia decisione potrebbe non essere rivisitata.

I siti con cache ampia avranno meno carico se i proxy di cache possono sopportare parte del carico, il che è impossibile quando SSL è attivo.

Strumenti di conservazione della larghezza di banda come la compressione opzionale in Opera e Chrome non funziona con i contenuti pubblicati su SSL.

    
risposta data 12.03.2014 - 22:33
fonte
1

Molto probabilmente conservano l'utilità del caching e riducono il carico coinvolto nelle enormi quantità di scansione spider necessarie per mantenere aggiornate le ricerche esterne.

La parte cattiva non è tanto che una terza parte può vedere quale pagina hai guardato (la rete di utility di analisi installate ovunque che riportano a Google già ti garantisce che sei rintracciato quasi ovunque), ma che il rimbalzo tra HTTP e HTTPS fornisce più punti a una deviazione errata da un sito HTTP non autenticato a un sito HTTPS falso con un certificato falso. Il rischio non è il monitoraggio e la sua non esposizione del contenuto nelle pagine HTTP, è che questa sorta di "avanti e indietro" indebolisce il senso di consapevolezza delle minacce di un utente.

È molto più difficile per l'utente medio capire che si verifica un'apertura spaventosa ogni volta che accade HTTPS- > HTTP- > HTTPS, soprattutto perché questo accade per la maggior parte delle persone dopo aver effettuato l'accesso e autenticato sul server.

"Oh, guarda, è appena spuntato un avviso di certificato. Strano, ma sono stato firmato per tutto questo tempo (preme immediatamente il pulsante 'annulla / aggiungi permanentemente un'eccezione')"

Una soluzione migliore sarebbe quella di rendere pubbliche tutte le parti del sito (visibili agli utenti anonimi) tramite HTTP e HTTPS per mantenere i motori di ricerca felici e gli spider che eseguono la scansione di pagine a basso carico, senza mai reindirizzare nessuno dopo aver attraversato HTTPS. Se davvero ci tenessero alla sicurezza, però, non reindirizzerebbero mai automaticamente da HTTP a HTTPS - quella sorta di reindirizzamento automatico è un'opportunità per impostare un attacco MITM ogni volta, e anche le banche lo fanno.

    
risposta data 13.03.2014 - 23:11
fonte
1

Dal punto di vista dell'esperienza utente, se un utente visualizza SSL e visualizza la sicurezza, tende a diventare inutilmente cauto.

Ad esempio, se hai un sito web con l'immagine di un lucchetto sulla home page che dice "Siamo sicuri", i tassi di conversione drop . Mantenere il meccanismo nascosto all'utente non è sempre una cattiva idea e, se lo scambio e l'autenticazione della password sono implementati correttamente, in realtà non è un problema di sicurezza.

Possiamo anche immaginare come potrebbe effettivamente richiedere più tempo a un utente malintenzionato di hackerare eBay se eBay oscura i loro protocolli di sicurezza, perché sembrano essere deboli quando in realtà devono avere linee di sicurezza abbastanza formidabili.

Appear weak when you are strong, and strong when you are weak

- Sun Tzu, The Art of War

    
risposta data 14.03.2014 - 00:45
fonte

Leggi altre domande sui tag