Utilizza sempre HTTPS una buona idea? [duplicare]

3

OK, questa domanda potrebbe sembrare un gioco da ragazzi per un professionista, ma tieni presente che non sono uno sviluppatore web professionista, quindi la mia conoscenza in questo campo è molto limitata.

Ho riflettuto nel tempo cercando di decidere se rendere il mio sito web accessibile sia con HTTPS che con HTTP (le pagine meno importanti non necessitano di crittografia) o se dovessi usare HTTPS solo per tutte le pagine del mio sito web.

La ragione per cui l'ho fatto è che temo che un attacco Man in the middle possa in teoria iniettare codice JavaScript all'interno della pagina web quando uno degli utenti sta tentando di navigare nel sito Web e causare comportamenti indesiderati (come rubare l'autenticazione cookie o altre cose).

Quindi, quello che vorrei dire è che le mie domande si riducono sostanzialmente a:

1) È un errore? Ho davvero bisogno di HTTPS ovunque. È più un calcolo. E no, non vivo per - perché preoccuparsi del calcolo oggi ed età? Con l'hardware attuale dovresti essere in grado di contare il numero di atomi in un sandwich in meno di un giorno - tipo di mentalità. Penso che sia una cattiva mentalità per un programmatore dal momento che invita a scrivere algoritmi sciatti e inefficienti. Se c'è un modo migliore di fare cose che consente calcoli minori, mi piacerebbe sentirlo.

2) È ancora possibile in qualche modo che una persona inserisca codice indesiderato nelle mie pagine Web quando è in transito verso un utente finale anche se utilizzo i certificati TLS? So che sembra impossibile ma, come ho detto, non sono un esperto, quindi vorrei sentire le tue opinioni.

3) Infine, HTTPS è un buon modo per prevenire gli attacchi di falsificazione delle richieste cross-site? Ho sentito da qualche parte che è anche se non riuscivo a capire la logica dietro. Il meglio che può aiutare, per quanto vedo, è consentire all'utente finale di rendersi conto che la falsa pagina web non è protetta e aiutarlo a capire che qualcosa è sospetto. Aiuta in un altro modo diverso da quello? O devo implementare alcuni meccanismi extra di sicurezza per impedirlo?

Grazie per il tuo tempo!

Inoltre, in risposta alla duplice reazione, credo ancora che questa domanda sia anche un po 'originale riguardo al fatto che ho anche chiesto dei requisiti computazionali per una soluzione e anche chiedere se l'XSS può essere usato anche con TLS utilizzato

    
posta Mr Sir 29.08.2015 - 18:49
fonte

2 risposte

5
  1. Come per tutte le cose in sicurezza, l'utilizzo di HTTPS è un compromesso. Stai scambiando alcune prestazioni e potenzialmente un inconveniente dei clienti per una maggiore sicurezza e altri possibili benefici (ad esempio google aumentando le valutazioni dei siti abilitati SSL ). Solo tu puoi rispondere se ne vale la pena, in quanto solo tu sai cosa fa il tuo sito e se valga la pena. Come regola generale, direi che se stai elaborando dati personali o sensibili per i tuoi utenti è probabile che ne valga la pena. Se si esegue un sito di brochureware puramente statico, probabilmente non lo è. Una cosa è, se fai HTTPS (ad esempio perché hai una sezione di accesso) fallo in tutto il sito, non solo in posti.

  2. Nel caso generale, non sarebbe possibile per gli hacker inserire codice nel tuo sito, ma l'immagine completa potrebbe essere più complessa di quella, a seconda di cosa fa il tuo sito e di chi è probabile che lo attacchi. Sicuro di dire che nella maggior parte dei casi rende molto più difficile che ciò accada.

  3. Generalmente HTTPS non protegge dagli attacchi CSRF. Se un utente malintenzionato può fare in modo che un utente che ha effettuato l'accesso esegua un'azione sul tuo sito, il fatto che l'azione venga eseguita su una connessione crittografata non lo rende in alcun modo diverso.

risposta data 29.08.2015 - 19:01
fonte
1

Con le moderne CPU Intel (e stiamo parlando da 5 a 7 anni ...) non vi è alcun impatto significativo sulle prestazioni del calcolo coinvolto in una connessione SSL. Quindi, dal punto di vista delle prestazioni, non c'è motivo per non utilizzare SSL ovunque.

Un altro avvertimento è la vulnerabilità dei contenuti misti sulla tua pagina. Non dovresti fare riferimento a risorse HTTP su una pagina servita da HTTPS.

Se si utilizzano librerie JS o CSS, accedervi senza il protocollo come //css/mycsslib.css

    
risposta data 30.08.2015 - 11:09
fonte

Leggi altre domande sui tag