Ho un servizio web a cui è possibile accedere solo dai siti web ospitati sullo stesso server (io uso 127.0.0.1 ip).
Dovrei usare SSL per le comunicazioni tra i siti e il servizio, o creerei solo inutili spese generali senza aumentare la sicurezza?
Si noti che tutte le comunicazioni tra i siti Web e il servizio Web avvengono all'interno del server. Sono tutti ospitati sullo stesso server iis7.5.
No, non è necessario ever crittografare il traffico di loopback con SSL. Il traffico di loopback non lascia mai la macchina, poiché l'interfaccia è virtuale. Il traffico non raggiunge nemmeno il vero driver di dispositivo della scheda NIC.
Per catturare il traffico loopback, un utente malintenzionato dovrebbe eseguire un programma di acquisizione sul computer. Una volta che un utente malintenzionato ha eseguito il codice sul tuo computer, sei di proprietà . Game over.
La crittografia del traffico è inutile quando è sufficiente leggere i dati di origine o leggere i buffer in testo in chiaro dalla memoria.
Se non c'è accesso alla macchina da nessun'altra macchina, non vedo il motivo per ssl.
In caso contrario:
Se una parte della rete è wireless - usa ssl. Se non sei l'unica persona nella rete - usa ssl.
Se sei in grado di accedere alla rete da un mondo esterno tramite VPN o port forwarding - usa ssl.
È un'ulteriore misura di sicurezza quando è nascosto dietro NAT ma non noterai il calo delle prestazioni a meno che tu non voglia eseguire lo streaming 1080p su questo protocollo.
No. Non penso che tu debba preoccuparti di SSL. Non ce n'è bisogno.
Ma se permetti a qualsiasi utente o codice non fidato sulla tua macchina, metti il tuo servizio su una porta con un numero basso (inferiore a 1024), in modo che altri processi non possano collegarsi a quell'indirizzo e rubare il traffico intento al tuo servizio. In alternativa, assicurati che il tuo servizio venga avviato all'avvio e leghi immediatamente a quella porta (per impedire ad altri di collegarsi ad esso), organizza il riavvio se dovesse morire / si blocca e registra un errore critico se rileva che non può collegarsi a quella porta perché alcuni altri processi lo hanno già fatto.
Se puoi usare SSL per la tua applicazione, allora potresti anche farlo. Anche se non hai alcuna necessità urgente di utilizzarlo in questo momento, aiuta a rendere l'opzione disponibile e facile da attivare per la migrazione a un'architettura di server remoto e in realtà serve la sicurezza.