Possiamo eliminare XP dal supporto HTTPS? Se no, quando? [chiuso]

Naviga le tue risposte
8

Il supporto XP è stato abbandonato dalla MS l'8 aprile 2014, quasi due anni fa, ma ci sono ancora molte persone che usano XP per navigare in Internet.

Inoltre, ci sono ancora molti siti come Google o Facebook che offrono SSLv3 e cose simili per supportare XP. Tuttavia, se abbandonassimo XP avremmo una sicurezza molto migliore. Potremmo usare:

  • ECC
  • SHA2 certs (beh sì, XPSP3 ha risolto il problema, ma troppi utenti XP hanno ancora SP2)
  • TLSv1.2
  • AES
  • HSTS
  • HPKP
  • SNI, probabilmente uno degli aspetti più importanti dell'hosting HTTPS condiviso.

Abbiamo una situazione abbastanza simile con Android precedente (< 4.0) ma diversamente da XP abbiamo un numero effettivo di androidi attivi su Internet da parte di Google e il loro numero è appena del 3,2%, dove potremmo quasi ignorarli.

E il punto più significativo è che tutti quelli che veramente vogliono essere su questo vecchio sistema possono usare Firefox che offre tutte le funzioni di sicurezza, e fa ancora XP e la maggior parte delle vecchie versioni di Android (Froyo è un'eccezione).

Quindi andiamo al punto:

Alla luce di tutto ciò, è già "sicuro" far cadere il supporto XP (e il vecchio Android insieme ad esso) dai siti HTTPS per garantire una maggiore sicurezza? Soprattutto vedere che i venditori di browser segneranno ancora più vulnerabilità giorno dopo giorno. Dovremmo aspettare, e se sì, fino a quando?

    
posta My1 18.01.2016 - 12:01
fonte

3 risposte

11

Dipende interamente da siti specifici. Sospetto che molti siti con un pubblico conosciuto abbiano già iniziato a ridurre il supporto per le correzioni specifiche di XP: i siti dedicati al software OSX, ad esempio, probabilmente ottengono XP trascurabili utilizzando il traffico. Potrebbero aver deciso di preferire una sicurezza migliore piuttosto che preoccuparsi dei pochi utenti che usano XP.

D'altro canto, siti come Facebook probabilmente vedono ancora un sacco di utenti XP, specialmente da paesi in cui l'aggiornamento dei computer è proibitivo. Eliminare tutto il supporto perderebbe istantaneamente quegli utenti, che Facebook potrebbe non considerare utile.

Si tratta essenzialmente di una decisione aziendale, piuttosto che di una decisione di sicurezza. Se la tua azienda ritiene che valga la pena supportare questi utenti, continuerà a farlo. In caso contrario, potrebbe abbandonare il supporto.

Per il tuo sito, è completamente sicuro eliminare funzionalità di compatibilità XP. Potresti perdere alcuni utenti, ma non c'è nulla che possa fermarti.

    
risposta data 18.01.2016 - 12:10
fonte
5

L'unico modo per decidere se sei disposto a perdere gli utenti con XP sul tuo sito, è scoprire quanti di questi ci sono.

Inizia a raccogliere statistiche su questo. Allora hai qualcosa su cui decidere.

Se decidi di aumentare la sicurezza e di abbandonare il supporto XP, basandoti su quei numeri, puoi anche mostrare grandi banner informativi con guide su come installare un altro browser sulle persone che ancora usano XP sul tuo sito prima di interromperli.

    
risposta data 18.01.2016 - 14:21
fonte
2

Come detto in precedenza, inizia misurando le statistiche, la più rilevante e meglio è. Per pertinente intendo "rappresentante per i tuoi utenti", quindi considererei l'analisi basata su js un po 'più rilevante delle statistiche di log del server web se il tuo sito è destinato ad essere utilizzato dagli umani e viceversa se hai alcune API web che incoraggi persone da usare.

Quindi prendi quelle statistiche e discuti con i tuoi superiori se gli utenti interessati valgono la pena di trattenere le correzioni di sicurezza. Se hai concorrenti, guarda cosa hanno fatto. Se alla fine considerano questi utenti troppo importanti per il drop, prova a spingere per una campagna per farli aggiornare (rilevando il loro user-agent o i parametri TLS negoziati e mostrando un avviso).

Si noti che è praticamente impossibile rilevare l'user-agent prima dell'handshake TLS (poiché se il proprio browser non è in grado di negoziare una sessione TLS mostrerà un errore lato client, non raggiungerà la propria applicazione), quindi tutte queste misure dovrebbero essere fatte prima di implementare le modifiche al listener TLS.

    
risposta data 18.01.2016 - 19:46
fonte

Leggi altre domande sui tag

Crittografia server-server: rotazione chiave over-the-air. Può migliorare la sicurezza? Token hardware vs token software basato su impronte digitali