OK, questa domanda potrebbe sembrare un gioco da ragazzi per un professionista, ma tieni presente che non sono uno sviluppatore web professionista, quindi la mia conoscenza in questo campo è molto limitata.
Ho riflettuto nel tempo cercando di decidere se rendere il mio sito web accessibile sia con HTTPS che con HTTP (le pagine meno importanti non necessitano di crittografia) o se dovessi usare HTTPS solo per tutte le pagine del mio sito web.
La ragione per cui l'ho fatto è che temo che un attacco Man in the middle possa in teoria iniettare codice JavaScript all'interno della pagina web quando uno degli utenti sta tentando di navigare nel sito Web e causare comportamenti indesiderati (come rubare l'autenticazione cookie o altre cose).
Quindi, quello che vorrei dire è che le mie domande si riducono sostanzialmente a:
1) È un errore? Ho davvero bisogno di HTTPS ovunque. È più un calcolo. E no, non vivo per - perché preoccuparsi del calcolo oggi ed età? Con l'hardware attuale dovresti essere in grado di contare il numero di atomi in un sandwich in meno di un giorno - tipo di mentalità. Penso che sia una cattiva mentalità per un programmatore dal momento che invita a scrivere algoritmi sciatti e inefficienti. Se c'è un modo migliore di fare cose che consente calcoli minori, mi piacerebbe sentirlo.
2) È ancora possibile in qualche modo che una persona inserisca codice indesiderato nelle mie pagine Web quando è in transito verso un utente finale anche se utilizzo i certificati TLS? So che sembra impossibile ma, come ho detto, non sono un esperto, quindi vorrei sentire le tue opinioni.
3) Infine, HTTPS è un buon modo per prevenire gli attacchi di falsificazione delle richieste cross-site? Ho sentito da qualche parte che è anche se non riuscivo a capire la logica dietro. Il meglio che può aiutare, per quanto vedo, è consentire all'utente finale di rendersi conto che la falsa pagina web non è protetta e aiutarlo a capire che qualcosa è sospetto. Aiuta in un altro modo diverso da quello? O devo implementare alcuni meccanismi extra di sicurezza per impedirlo?
Grazie per il tuo tempo!
Inoltre, in risposta alla duplice reazione, credo ancora che questa domanda sia anche un po 'originale riguardo al fatto che ho anche chiesto dei requisiti computazionali per una soluzione e anche chiedere se l'XSS può essere usato anche con TLS utilizzato